Auditoria

em Instalaes Porturias

Marcus Dantas

Marcus Leal Dantas

Auditoria
2 Edio

Livro Rpido
Olinda PE
2011
1

Copyright 2011 by Marcus Leal Dantas

Impresso no Brasil
Printed in Brazil
Editor
Tarcsio Pereira
Diagramao
Las Mira
Capa
Carlos Lopes
Reviso
Professora Margarida Michel
Dados Internacionais de Catalogao na Publicao (CIP)
Ficha catalogrfica

D192a

Dantas, Marcus Leal

Auditoria. 2 Ed. / Marcus Leal Dantas Olinda: Livro Rpido,
2010.
166 p. ; tab.
Bibliografia. p. 161-163 (bibliografia localizada)
ISBN 978-85-406-0069-0
1. Auditoria. 2. Planos de segurana porturia. 3. Auditoria Instalaes porturia. 4. Tipos de auditoria. I. Ttulo.
657 CDU (1997)
Fabiana Belo - CRB-4/1463
Livro Rpido Elgica
Rua Dr. Joo Tavares de Moura, 57/99 Peixinhos
Olinda PE CEP: 53230-290
Fone: (81) 2121.5300 Fax: (81) 2121.5333
www.livrorapido.com

DEDICATRIA

Aos meus pais, Raimundo e Mrcia, pelos valores cultivados na educao

familiar, que hoje se apresentam como pilares fundamentais no equilbrio e
sucesso das coisas que procuro realizar.
minha esposa Eva, pela prazerosa companhia de todos esses anos, e pelas
lies aprendidas nos momentos de aparente dificuldade.
Aos meus filhos Gabriela, Luiza e Marcus, pelo brilho intenso de olhares
inspiradores de sonhos e felicidades, fonte de motivao para enfrentar de
forma audaz os desafios do dia-a-dia.

AGRADECIMENTOS

Agradeo ao amigo Joaquim Osrio Liberalquino Ferreira pela contribuio

mpar da anlise crtica do contedo deste livro, e por toda a aprendizagem
durante a construo desse conhecimento.
Agradeo, em especial, ao Capito-de-Mar-e-Guerra Marcelo Santiago Garcia,
do Estado-Maior da Armada da Marinha do Brasil, Encarregado da Diviso de
Coordenao dos Assuntos da Organizao Martima Internacional, pela
colaborao na fase das pesquisas, pelas observaes feitas no contedo
deste livro, e pelo indispensvel prefcio.

Marcus Leal Dantas

Auditor fiscal e Oficial da reserva da Polcia Militar de Pernambuco, possui
trabalhos publicados e realizados nas reas de segurana pblica, privada,
porturia, da informao e de gesto de riscos. contador, graduado pela
UFPE, e ps-graduado em planejamento e gesto organizacional pela FCAPE,
e em Direito Tributrio pela UFPE. Auditor Lder em Sistemas de Gesto de
Segurana da Informao ISO 27001:2005.
autor dos livros: Segurana preventiva: conduta inteligente do cidado;
Segurana da informao: uma abordagem focada em gesto de riscos; e
Avaliao de riscos em Instalaes Porturias.
E-mail: marcusdantas@uol.com.br
Home: www.marcusdantas.com.br

PREFCIO

cedio que o dia 11 de setembro de 2001 marcou o mundo. Todos se

lembraro desta data por razes diversas. No setor martimo, idias correntes
foram potencializadas e novas matrias foram apresentadas no ps-11 de
setembro. Dentre elas, talvez, aquela com maior impacto, quase imposta ao
mundo pelas circunstncias, tenha sido a instituio do Cdigo ISPS
(International Ship and Port Facility Security Code), inserindo, de forma
decisiva, a mentalidade de segurana (security) no transporte martimo. A
despeito de sua repercusso, este no foi o primeiro movimento da
comunidade martima internacional. Anteriormente, em 1988, foi adotada, no
mbito da Organizao Martima Internacional (IMO), a Conveno para a
Supresso de Atos Ilcitos Contra a Segurana da Navegao Martima,
instrumento este decorrente do incidente ocorrido com o navio de
passageiros Achille Lauro, em 1985.
O Cdigo ISPS foi elaborado e associado, por meio de emenda tcita,
Conveno para a Salvaguarda da Vida Humana no Mar (SOLAS). A SOLAS,
desde a sua origem, demonstrou apelo e publicidade, uma vez que seu
desenvolvimento foi motivado pelo acidente ocorrido com o navio Titanic, em
1912. Por esta razo, esta Conveno possui um elevado nmero de pases
signatrios, o que, consequentemente, torna o Cdigo obrigatrio para quase
a totalidade dos pases do mundo.
Mas o que trouxe de novo o Cdigo ISPS? Mais segurana para os
navios e instalaes porturias. Os navios, ento, no eram seguros?
Naturalmente que sim, porm, a IMO, utilizando-se da filosofia de
estandardizao de procedimentos e dos seus processos para elaborao de
normas e diretrizes, desenvolveu um documento padronizado e de fcil
compreenso por diferentes Estados.
E no que tange aos portos? Neste ponto reside a grande dificuldade e
novidade no setor, visto que no havia uniformidade nos portos ou
instalaes porturias quanto segurana. A IMO, uma Organizao voltada
para o transporte martimo internacional, encontrou grande resistncia a esta
nova abordagem, em face da dificuldade de os Estados aceitarem que

assuntos relacionados segurana dos respectivos territrios fossem

regulados por essa Agncia da Organizao das Naes Unidas (ONU).
Ressalta-se que o Cdigo ISPS trouxe inmeras novidades ao setor
porturio mundial e, em especial, ao brasileiro. Neste sentido, podemos citar a
importante atuao da Comisso Nacional de Segurana Pblica nos Portos,
Terminais e Vias Navegveis (CONPORTOS), criada em 1997, em razo das
numerosas ocorrncias de roubo armado em portos brasileiros, no
desenvolvimento dos planos de segurana porturia. Com a publicao do
Cdigo ISPS, a CONPORTOS ganhou relevncia e potencializou a sua atuao,
passando a regulamentar as aes necessrias para o setor porturio, no
tocante segurana pblica.
Para se adequar s novas regras, os portos e instalaes porturias
precisaram efetuar a anlise de risco, com vistas elaborao de seus planos
de segurana. Esta anlise identificou diversas vulnerabilidades, tais como:
falta de muros ou cercas delimitando permetros, ausncia de controle de
acesso de pessoas e cargas, deficincia de iluminao, falta de treinamento de
pessoal envolvido com a segurana, falta de mentalidade de segurana,
dentre outros.
Uma vez identificadas as vulnerabilidades, aes corretivas foram
estabelecidas e elaborados planos de segurana que, quando implementados,
so avaliados pelas Comisses Estaduais de Segurana Pblica nos Portos,
Terminais e Vias Navegveis (CESPORTOS), que, eventualmente, contam com
a colaborao da CONPORTOS. Caso a implementao do Plano de Segurana
da Instalao Porturia seja satisfatria, emitida uma Declarao de
Cumprimento e registrado na pgina da IMO, na Internet.
Alm das auditorias previstas nos planos de segurana, a IMO
est adotando, desde 2006, o Esquema de Auditoria Voluntria, onde os
Estados Membros recebem auditores credenciados pela Organizao. Este
procedimento visa a proporcionar aos Estados Partes uma avaliao da
eficincia de suas legislaes, no que tange implementao dos
instrumentos obrigatrios da IMO, tais como as Convenes para Salvaguarda
da Vida Humana no Mar (SOLAS) e a de Preveno da Poluio Causada por
Navios (MARPOL), com vistas a, principalmente, inibir a circulao dos navios
mercantes ditos sub-standards.

O tema security relativamente recente na IMO e precisa de um

perodo de tempo para as necessrias revises, de forma a assegurar a
eficincia na implementao de seus procedimentos. Assim, atualmente, o
escopo desta auditoria internacional no alcana as medidas especiais para
intensificar a proteo martima, previstas no captulo XI-2 da SOLAS.
Entretanto, em dezembro de 2005, a Assemblia da Organizao adotou a
Resoluo A.975(24), solicitando ao Conselho (rgo executivo da IMO) as
aes pertinentes para o desenvolvimento das adequadas provises para a
incluso no Esquema de Auditoria Voluntria de novas matrias, dentre elas, o
security.
Releva comentar que a experincia tem demonstrado que, no
mbito daquela Organizao, instrumentos concebidos para a adoo em
carter voluntrio, como meras recomendaes, com o passar do tempo,
tendem a tornarem-se obrigatrios.
Reunindo os fatos ora apresentados, depreende-se que, em um
futuro no muito distante, o Pas estar sujeito a uma auditoria internacional
compulsria, incluindo a segurana martima (security) e, provavelmente,
condicionando certificao internacional de navios e instalaes porturias a
este procedimento.
Aqueles descompromissados com os rigores do assunto, descrentes
dos benefcios desta ferramenta, que buscam alternativas para tergiversar a
necessria conformidade com o instrumento internacional, perguntariam:
quais as penalidades previstas no Cdigo para aqueles Governos que no
cumprirem o que nele est disposto? Resposta: a IMO no aplica qualquer
penalidade aos Estados que no cumprem o Cdigo. As sanes so impostas
pelas foras de mercado e fatores econmicos. No h como,
deliberadamente, ignorar o Cdigo ISPS. Os portos (Governos) imporo
restries a todos os navios contaminados, ou seja, aqueles que
comprometeram os seus planos de segurana por terem atracado em
instalaes porturias no conformes com o Cdigo ISPS.
A edio de um livro, que no trata de novas metodologias, mas
orienta a preparao para a conformidade com as regras internacionais,
ocorre em momento extremamente oportuno, consoante com o incio das
auditorias nos Planos de Segurana Pblica Porturia. De forma didtica, o
autor nos apresenta todo o processo de auditoria, voltado s instalaes

porturias, que ser muito til na avaliao e aprimoramento da segurana

dos portos brasileiros.
Com certeza, os setores comprometidos com a matria tero a grata
satisfao de contar com a pioneira e valiosa iniciativa do autor, vislumbrando
neste livro um alerta e um incentivo aos portos brasileiros a buscarem a
conformidade com o Cdigo. Em 2003, quando foram discutidas as normas
para implementao do ISPS, havia muita novidade e pouco tempo, induzindo
os gestores do assunto a levarem adiante aes sem a necessria avaliao de
sua efetividade. Imagino que uma auditoria bem conduzida seja a ferramenta
mais valiosa do processo de aprimoramento do nosso sistema de segurana
porturia, contribuindo sobremaneira para manter os nossos portos e
terminais livres de atos ilcitos de todo tipo, em especial, aqueles perpetrados
por organizaes clandestinas ou terroristas.
Marcelo Santiago Garcia
Capito-de-Mar-e-Guerra
Encarregado da Diviso de Coordenao dos Assuntos da IMO

10

SUMRIO
INTRODUO ................................................................................................. 13
TERMOS E DEFINIES................................................................................... 19
1 AUDITORIA...................................................................................................23
1.1 Tipos de auditoria................................................................................. 24
1.1.1 Internas........................................................................................... 24
1.1.2 Externas...........................................................................................25
1.2 Etapas da auditoria ...............................................................................25
1.3 Auditores ............................................................................................. 26
1.4 Programa de auditoria..........................................................................27
1.4.1 Elementos de um programa de auditoria....................................... 28
1.5 Atividades de auditoria........................................................................ 30
1.5.1 Planejamento da auditoria .............................................................. 31
1.5.2 Execuo da auditoria.................................................................... 34
1.5.3 Encerramento da auditoria ............................................................ 38
1.6 Procedimentos de auditoria................................................................ 42
1.6.1 Evidncias de auditoria .................................................................. 42
1.6.2 Tcnicas de auditoria ..................................................................... 43
1.6.3 Constataes de auditoria............................................................. 44
1.6.4 Papis de trabalho......................................................................... 44
1.6.5 Procedimentos de auditoria X procedimentos do auditor ............ 45
2 AUDITORIA EM INSTALAES PORTURIAS................................................47
2.1 Tipos de auditoria e sua importncia na proteo de instalaes
porturias ................................................................................................. 50
2.2 Objetivos de programas de auditoria e objetivos de auditoria .......... 54
2.3 Auditoria em sistemas de proteo .................................................... 59
2.4 Auditoria da avaliao de proteo de instalaes porturias .......... 63
2.5 Auditoria do Plano de Segurana Pblica Porturia (PSPP)............... 69
2.5.1 Exame dos requisitos do ISPS Code................................................. 71
2.5.2 Exame dos requisitos da CONPORTOS .......................................... 74
2.5.3 Exame da funcionalidade do plano ............................................... 83
2.6 Auditoria do controle de acesso ......................................................... 88
2.6.1 Exame dos requisitos do ISPS Code................................................ 90

11

2.6.2 Exame dos requisitos da CONPORTOS.......................................... 94

2.6.3 Exame operacional do controle de acesso.................................... 97
2.7 Auditoria das atividades da Guarda Porturia ...................................100
3 AUDITORIAS ESPECIAIS EM INSTALAES PORTURIAS...........................109
3.1 Auditoria para a anlise GAP ...............................................................110
3.2 Auditoria em fornecedores................................................................. 115
3.3 Auditoria para controle de riscos....................................................... 120
4 CHECKLIST................................................................................................. 129
4.1 Checklist 1 ........................................................................................... 130
4.2 Checklist 2 .......................................................................................... 136
4.3 Checklist 3 .......................................................................................... 140
5 NO CONFORMIDADES E IRREGULARIDADES ............................................ 149
6 RELATRIO E AES DE ACOMPANHAMENTO DA AUDITORIA.................. 157
6.1 Relatrio ............................................................................................. 157
6.2 Aes de acompanhamento .............................................................. 160
BIBLIOGRAFIA .............................................................................................. 161

12

INTRODUO
Aps os atentados terroristas de 11 de setembro de 2001 s Torres
Gmeas do World Trade Center e ao Pentgono, a comunidade internacional
comeou a se preocupar mais com a segurana mundial e o combate ao
terrorismo.
Nesse sentido, a Organizao Martima Internacional (IMO), ligada
Organizao das Naes Unidas (ONU), aprovou o International Ship and Port
Facility Security Code (ISPS Code), na Conferncia Diplomtica sobre proteo
martima, realizada em Londres, em dezembro de 2002.
Esse cdigo decorre de uma deciso unnime, na vigsima segunda
sesso de assemblia da IMO, realizada em novembro de 2001, como parte
das novas medidas de preveno ao terrorismo, relativas proteo de
embarcaes e instalaes porturias.
Como consequncia desse cdigo internacional, as instalaes
porturias tiveram e tero de adotar uma srie de medidas para a sua
proteo, sendo certificadas, internacionalmente, como instalaes seguras.
Medidas de alcance para os 162 pases que compem a IMO, dentre eles o
Brasil.
Para termos uma idia do tamanho do impacto dessa norma, uma
pesquisa1 realizada entre maro e abril de 2004 pela International Association
of Port and Harbors (IAPH), em 30 pases, revelou que, de 1.628 instalaes
porturias pesquisadas, apenas 8% tinham tido seus planos de proteo
aprovados, que 8,5% estavam aguardando a aprovao, e que 81% j tinham
submetido seus planos para a aprovao.
No Brasil, conforme foi publicado no quadro resumo de instalaes
porturias certificadas, existiam, at a data de 31 de dezembro de 2010, 181
instalaes porturias certificadas, do total de 241 instalaes que
necessitavam se adequar s normas do ISPS Code (Brasil, 2011).

O relatrio dessa pesquisa foi apresentado na IMO Martima Safety Committees 78 Session,
ocorrida em Londres, entre 12-21 de maio de 2004. No Brasil, o porto de SUAPE foi o nico a ser
consultado.

13

O ISPS Code introduziu diretrizes para um sistema de segurana

porturia, revestido de critrios que s elevam ainda mais a qualidade de um
sistema de segurana, imprescindvel a qualquer instalao porturia.
Todo esse arcabouo de medidas, as avaliaes de risco, os planos de
segurana, as normas de controle de acesso e os procedimentos de vigilncia
provocaram certa tormenta nos portos do mundo inteiro, os quais, com
certeza, no estavam preparados para tal exigncia e padro de segurana.
Observa-se que as normas e procedimentos das instalaes porturias
eram precrios, e que a guarda ou vigilncia porturia sequer possua normas
e procedimentos para as diversas atividades de proteo das suas instalaes.
Certamente existiam alguns procedimentos, mas no geral a prtica apontava
para o livre arbtrio do vigilante, ou guarda porturio, no desempenho de suas
atividades. Planos de segurana, procedimentos de vigilncia eram para
muitos, coisa bastante distante.
Pela primeira vez, sero vistos postos de vigilncia com misso,
objetivos e metas definidos, implementando uma nova cultura da segurana,
que esperamos que no se restrinja apenas s instalaes porturias e s
embarcaes, mas que faa parte da to almejada modernizao dos sistemas
de gesto da segurana do mundo moderno.
No obstante essa conformidade com o ISPS Code, as instalaes
porturias sero submetidas inspeo peridica da Comisso Nacional de
Segurana Pblica nos Portos, Terminais e Vias Navegveis (CONPORTOS),
mediante a realizao de auditorias para se verificar o pleno funcionamento
dos novos sistemas de segurana.
Nessa vertente, a CONPORTOS publicou duas Resolues: a resoluo
o
n 37, de 21/06/2005, dispondo sobre as auditorias, emendas, atualizao e
reviso dos planos de Segurana Pblica Porturia das Instalaes Porturias;
e a Resoluo no 47 de 07/04/2011, estabelecendo critrios e disposies para
as auditorias nas instalaes porturias, seus procedimentos e a avaliao de
controles de acesso de pessoas, cargas e veculos. Essa ltima, estabelece que
a cada trs anos ser realizada uma auditoria individualizada para cada
instalao porturia certificada.
A realizao de auditorias surge como uma novidade e constitui um
grande paradigma e evoluo no sistema de gesto da segurana nas diversas
instalaes porturias. Com certeza, essa inovao conduzir a uma melhora

14

considervel na qualidade da segurana na rea porturia, pois pela primeira

vez ser realizada uma auditoria num sistema de segurana, objetivando
manter uma certificao internacional de proteo.
Diante da nova exigncia internacional, surge a grande indagao:
COMO REALIZAR AS AUDITORIAS PARA A PROTEO DAS INSTALAES
PORTURIAS?
Realizar uma auditoria no simplesmente verificar se o
procedimento est ou no de acordo com o que foi estabelecido. Realizar
uma auditoria requer um conjunto de medidas que vo desde a concepo do
que seja a realizao de uma auditoria em sistemas de gesto da segurana
porturia at a concluso dessas auditorias.
O presente livro objetiva estabelecer diretrizes e fornecer orientaes
para a realizao de auditorias em sistemas de segurana de instalaes
porturias, de forma a manter a conformidade com o ISPS Code, e o pleno
funcionamento de seus sistemas.
Objetiva, tambm, suprir uma lacuna na escassa literatura sobre
auditoria de sistemas de gesto da segurana.
Este livro no se limita apenas s auditorias dos planos de segurana
porturias, mas apresenta outros tipos de auditoria e a sua importncia para
um controle eficaz dos sistemas de proteo, provocando a reflexo, no
leitor, sobre a necessidade de tornar a auditoria a ferramenta de
conformidade dos sistemas de controle como um todo.
O livro foi elaborado com base em pesquisas realizadas e no
conhecimento adquirido ao longo de anos de trabalho na rea de segurana e
de controle interno. Ele est dividido em 6 captulos. Cada captulo foi
cuidadosamente construdo com base numa exposio clara e direta,
objetivando produzir uma aprendizagem mais fcil e duradoura.
O primeiro captulo dedicado parte conceitual da auditoria, seus
tipos, auditores, o programa de auditoria e seus elementos, a atividade de
auditoria, seu planejamento, execuo e encerramento, e os procedimentos
de auditoria. Esse captulo tem uma abordagem mais terica e abrangente,
objetivando um nivelamento de conhecimento e familiaridade com termos
especficos da rea de auditoria.
O segundo captulo especfico para a auditoria em instalaes
porturias. Nele so apresentados os principais tipos de auditoria e sua

15

importncia para a proteo das instalaes, com suas formas de realizao,

seja a auditoria interna realizada pela prpria instalao, ou em seu nome, ou
a externa realizada por ela nos fornecedores, ou aquelas realizadas na
instalao porturia.
Nesse captulo, tambm so explicitados os objetivos de programa de
auditoria e objetivos de auditoria, com exemplos para facilitar a compreenso
e diferenciao entre eles.
Antes de se iniciar a grande viagem pelo conhecimento das auditorias
especficas da rea porturia, so apresentados os principais aspectos a ser
observados numa auditoria em sistemas de proteo.
A parte especfica desse captulo dedicada s auditorias da avaliao
de riscos, do plano de segurana porturia, do controle de acesso e das
atividades da guarda porturia. A nfase no est apenas nos requisitos
normativos do ISPS Code, mas tambm na funcionalidade do sistema em cada
parte especfica.
O terceiro captulo dedicado s auditorias especiais. No satisfeito
com os exames especficos a serem realizados para a certificao de uma
instalao porturia, e considerando a evoluo da segurana e do controle
interno, so apresentados alguns tipos de exames que entendemos ser de
fundamental importncia na busca da eficincia e eficcia dos sistemas de
proteo. Dessa forma, so apresentados trs tipos de auditorias: a auditoria
para a anlise GAP2, aquela para o controle de risco e a realizada nos
fornecedores. Cada uma delas possui uma finalidade muito especfica e de
uma ampla capacidade de alavancagem ao produzir vantagem competitiva
frente aos eventos indesejveis da segurana e aos concorrentes.
O quarto captulo dedicado exclusivamente aos checklists. As listas
de verificaes ou checklists, como so comumente conhecidas, sempre
absorvem muita ateno, tempo e dedicao dos auditores. So peas
indispensveis e fundamentais numa auditoria. Nesse sentido, algumas
tcnicas para elaborar essas listas, e com exemplos, so apresentadas com o
objetivo de contribuir para dar mais fluidez elaborao de um checklist.
2

O termo Gap vem do ingls e significa fenda, abertura, brecha, intervalo. Anlise GAP uma
anlise que objetiva fechar a brecha da segurana. Esse o significado que desejamos ao
empregar o termo Anlise GAP.

16

O quinto captulo carinhosamente dedicado s no conformidades e

irregularidades. Mesmo ciente de que uma auditoria no pode ser um
instrumento de garantia para a descoberta de irregularidades, sabemos que,
em auditorias, normalmente encontrado algum tipo de no conformidade,
seja ele uma irregularidade, ou no. E, s vezes, surge a dvida sobre a
classificao entre irregularidade e no conformidade, e a forma de
tratamento para elas. Desse modo, o captulo traz essa questo para ser
discutida, apresentando uma postura que analisamos ser a mais adequada.
O sexto captulo dedicado ao relatrio e s aes de
acompanhamento. apresentado um roteiro para a elaborao do relatrio,
no qual so comentados os seus principais aspectos. Tambm so feitos
comentrios sobre as aes de acompanhamento e sua importncia para o
perfeito funcionamento dos sistemas de proteo.
Como poder ser comprovado nas pginas seguintes, o livro servir
como um referencial para as auditorias de segurana em instalaes
porturias. Nas pesquisas realizadas, nada foi encontrado sobre auditoria de
segurana, e principalmente em instalaes porturias, e, portanto,
resolvemos escrever sobre o tema, que julgamos ser muito importante.
Ao concluir essa introduo e finalmente materializar esse
conhecimento, sabemos da magnitude de dedicao dispensada a este
trabalho: as horas de pesquisa, visitas, leitura, trabalho e digitao. Foram
duas verses, uma totalmente diferente da outra. Uma verdadeira
peregrinao na construo do conhecimento. E, apesar de no ter sido o
nosso primeiro livro, foi to emocionante e desafiador quanto o primeiro.
Esperamos com este livro alcanar um sonho: o de contribuir para a
evoluo de um padro internacional de proteo no segmento porturio.
Ao leitor, uma proveitosa leitura.
O autor

17

18

TERMOS E DEFINIES

Considerando o propsito deste livro, apresentamos abaixo algumas

definies e explicaes sobre termos utilizados no texto do livro.
Definies do ISPS Code (verso em portugus)
1. Conveno significa a Conveno Internacional para a Salvaguarda da
Vida Humana no Mar de 1974 (SOLAS), conforme emendada.
2. Regra significa uma regra da Conveno.
3. Captulo significa um captulo da Conveno.
4. Plano de proteo do navio significa um plano elaborado com vistas a
garantir a aplicao de medidas a bordo do navio criadas para
proteger pessoas a bordo, cargas, unidades de transporte de cargas,
provises do navio ou o prprio navio dos riscos de um incidente de
proteo.
5. Plano de proteo das instalaes porturias significa um plano
elaborado para garantir a aplicao de medidas criadas para proteger
instalaes porturias e navios, pessoas, cargas, unidades de
transporte de cargas e provises do navio dentro da instalao
porturia dos riscos de um incidente de proteo.
6. Oficial de proteo do navio significa a pessoa a bordo do navio,
responsvel perante o comandante, designado pela Companhia como
a pessoa responsvel pela proteo do navio, incluindo a
implementao e manuteno do plano de proteo do navio, e pela
ligao com o funcionrio de proteo da companhia e os funcionrios
de proteo das instalaes porturias.
7. Funcionrio de proteo da Companhia significa a pessoa designada
pela Companhia para garantir que seja feita uma avaliao de
proteo do navio; que seja elaborado um plano de proteo do navio
e que o mesmo seja submetido para aprovao e consequentemente
implementado e mantido; e pela ligao com os funcionrios de
proteo das instalaes porturias e o oficial de proteo do navio.
8. Funcionrio de proteo das instalaes porturias significa a pessoa
designada como responsvel pelo desenvolvimento, implementao,

19

9.
10.

11.

12.

13.

reviso e manuteno do plano de proteo das instalaes porturias

e pela ligao com os oficiais de proteo do navio e os funcionrios
de proteo da companhia.
Nvel 1 de proteo significa o nvel para o qual medidas mnimas
adequadas de proteo devero ser mantidas durante todo o tempo.
Nvel 2 de proteo significa o nvel para o qual medidas adicionais
adequadas de proteo devero ser mantidas por um perodo de
tempo como resultado de um risco mais elevado de um incidente de
proteo.
Nvel 3 de proteo significa o nvel para o qual medidas adicionais
especficas de proteo devero ser mantidas por um perodo limitado
de tempo quando um incidente de proteo for provvel ou iminente,
embora possa no ser possvel identificar o alvo especfico.
O termo navio, conforme utilizado neste Cdigo, inclui unidades
mveis de perfurao ao largo da costa e embarcaes de alta
velocidade, conforme definido na regra XI-2/1.
O termo Governo Contratante, em conexo com qualquer
referncia a uma instalao porturia, inclui uma referncia a
Autoridade Designada.

Outras definies
Incidente de proteo
aquele que interfere diretamente nas operaes porturias ou ponham em
risco a estrutura da instalao e/ou do navio e a integridade das pessoas;
Declarao de Cumprimento
Declarao por meio da qual certifica-se que a respectiva Instalao Porturia
cumpre as disposies do Captulo XI-2 e da Parte A do Cdigo Internacional
para Proteo de Navios e Instalaes Porturias Cdigo ISPS e o previsto
no seu Plano de Segurana Pblica Porturia aprovado pela Comisso
Nacional de Segurana Pblica nos Portos, Terminais e Vias Navegveis
CONPORTOS. (Resoluo n 26, de 08 de junho de 2004 da CONPORTOS).
Termo de Aptido para a Declarao de Proteo
Documento por meio do qual a Instalao Porturia poder operar mediante a
expedio da Declarao de Proteo, desde que comprove estar
implementando as disposies do Captulo XI-2 e da Parte A do Cdigo

20

Internacional para Proteo de Navios e Instalaes Porturias Cdigo ISPS

e o previsto no seu Plano de Segurana Pblica Porturia aprovado pela
Comisso Nacional de Segurana Pblica nos Portos, Terminais e Vias
Navegveis CONPORTOS. (Resoluo n 32, de 11 de novembro de 2004 da
CONPORTOS).
Declarao de Proteo
Documento por meio do qual so acordados entre a respectiva Instalao
Porturia e o Navio, as medidas de proteo, incluindo as adicionais, luz do
Captulo XI-2 e das Partes A e B do Cdigo Internacional para Proteo de
Navios e Instalaes Porturias Cdigo ISPS e o previsto no seu Plano de
Segurana Pblica Porturia aprovado pela Comisso Nacional de Segurana
Pblica nos Portos, Terminais e Vias Navegveis CONPORTOS. (Resoluo n
33, de 11 de novembro de 2004 da CONPORTOS).
Declarao de Cincia
Documento por meio do qual o Comandante ou o Oficial de Segurana do
navio/embarcao que ingressar no Brasil, fica ciente de que dever adotar
medidas formais no caso de verificar a prtica de atos ilcitos ou danos contra
o navio/embarcao, tripulantes ou passageiros e seus pertences e/ou carga,
durante a permanncia e a interface com as instalaes porturias,
procedendo o respectivo registro perante as autoridades brasileiras
competentes, cujo modelo, na forma do anexo desta Resoluo, ser
rigorosamente utilizado e expedido em todas as instalaes porturias
sediadas no Brasil. (Resoluo n 36, de 21 de junho de 2005 da CONPORTOS).
Segurana e proteo
Em ingls as palavras safety e security tem o significado de segurana.
Contudo, tais termos so utilizados com finalidades distintas nos textos da
IMO. Neles, a palavra safety traduzida como segurana, e relacionada com
a segurana do trfego aquavirio, e a palavra security traduzida como
proteo e est relacionada com a proteo contra atos ilcitos, terrorismo,
etc.
Plano de proteo de instalao porturia e plano de segurana pblica
porturia
O ISPS Code emprega o termo plano de proteo de instalao porturia, e a
CONPORTOS, presidida pelo Ministrio da Justia, se refere a este documento
como Plano de Segurana Pblica Porturia.

21

Entretanto, neste livro, utilizaremos os dois termos: o primeiro para manter a

originalidade do ISPS Code, e o segundo para nos referirmos nomenclatura
utilizada pela CONPORTOS para este documento. Desta forma, para o leitor, o
termo Plano de Segurana Pblica Porturia utilizado pela CONPORTOS deve
ser vinculado ao significado amplo de proteo (security) empregado pelo
ISPS Code, que o documento de referncia internacional para a proteo de
navios e instalaes porturias, dos pases membros da IMO.
Nesse sentido, quando nos referirmos ao ISPS Code utilizaremos o termo
plano de proteo, e quando nos referirmos aos requisitos da CONPORTOS
empregaremos o termo plano de segurana.

22

1 AUDITORIA
A auditoria uma atividade formal, documentada e executada por
pessoal habilitado, e destina-se a verificar a conformidade e a eficcia de um
sistema, mediante as evidncias em documentos, registros, observaes e
entrevistas, relatando ao final as no conformidades, para a adoo de aes
corretivas e preventivas.
Segundo o dicionrio, auditoria : cargo de auditor; casa ou tribunal
onde o auditor desempenha as suas funes; funo de auditor junto s
empresas comerciais; exame detalhado da contabilidade de uma empresa ou
instituio. (Michaelis, 1998).
A NBR ISO 19.011:20023 define a auditoria como um processo
sistemtico, documentado e independente para se obterem evidncias de
auditoria e avali-las objetivamente, a fim de determinar a extenso na qual os
critrios de auditoria so atendidos.
Como j pode ser deduzido, a atividade de auditoria especializada e constitui
uma importante ferramenta de gesto na verificao de conformidades e na
avaliao de um sistema como um todo. Pode ser uma atividade interna ou
externa.
As auditorias internas so atividades de avaliao e assessoramento
de uma administrao, feitas por pessoal da prpria corporao, que realiza
exames para verificar a eficcia do sistema de controle interno e o
desempenho das diversas reas em relao ao planejamento corporativo. As
auditorias externas tm as mesmas caractersticas da interna, porm so
realizadas por profissionais liberais, auditores independentes, sem vnculo de
emprego, ou seja, estranhos corporao.
A atividade de auditoria predomina mais na rea financeira e contbil;
A auditoria contbil est voltada para testar a eficincia e a eficcia do
controle sobre o patrimnio da empresa, implantada com a finalidade de
expressar uma opinio sobre determinado dado (ATTIE, 1998). Ela realizada
sobre as demonstraes financeiras e destina-se ao exame e avaliao

3 Esta norma estabelece diretrizes para a auditoria de sistema de gesto da qualidade e/ou
ambiental.

23

dessas demonstraes, em relao aos registros, procedimentos e princpios

contbeis geralmente aceitos (JUND, 2002).
Contudo, existem as auditorias de processos, produtos e servios,
sobre relatrios e de sistemas. As auditorias de processos esto mais voltadas
ao exame dos processos para verificar se os procedimentos esto sendo
executados de acordo com o que foi escrito, se eficaz e se o resultado
satisfatrio; as auditorias sobre produtos e servios objetivam verificar se os
produtos esto sendo manufaturados e se os servios esto sendo
executados de acordo as suas especificaes e seus contratos,
respectivamente; as auditorias sobre os relatrios objetivam constatar a
regularidade com a legislao e requisitos de contratos; e as de sistemas esto
voltadas para o exame de uma rea especfica ou todo um sistema, com o
objetivo de verificar a conformidade com o padro, requisitos, regulamentos,
legislao e contratos.
A auditoria pode ser classificada em sistemtica e especfica. A
primeira constante de um plano prvio, que deve apresentar a relao dos
rgos e entidades a serem auditadas. A especfica, como o prprio nome j a
define, especfica para cada caso, podendo ser determinada a qualquer
tempo.
As auditorias constituem uma importante ferramenta de gesto na
verificao das conformidades de um sistema de gesto de uma organizao.
A realizao de auditorias em sistemas de gesto para a obteno de
certificao de qualidade j constitui uma praxe; contudo, para os sistemas de
segurana porturia, uma exigncia nova desse tipo de atividade, destinada
verificao das conformidades e certificao de instalaes porturias
como instalaes seguras.

1.1 Tipos de auditoria

As auditorias podem ser de dois tipos: internas e externas.
1.1.1 Internas
As auditorias internas so aquelas conduzidas pela prpria instituio
ou em seu nome.

24

Como exemplo, podemos citar as auditorias realizadas pelas

instalaes porturias para verificar a conformidade dos diversos
procedimentos relacionados com os planos de segurana e com os
procedimentos especficos de determinado posto de controle de acesso.
Essas auditorias podem ser realizadas por pessoal prprio da instalao
porturia (auditores), ou por pessoal contratado por ela com essa finalidade,
e so conhecidas, tambm, como auditoria de primeira.
1.1.2 Externas
As auditorias externas so realizadas por pessoal de fora da
organizao, como clientes, fornecedores e organismos certificadores. As
realizadas nos clientes e fornecedores ou por clientes e fornecedores so
conhecidas como de segunda parte, e as realizadas por pessoal (auditores)
fora da relao cliente-fornecedor so conhecidas como de terceira parte.
Exemplos de auditorias de segunda parte so aquelas realizadas na
empresa de segurana, que fornece o efetivo para a vigilncia porturia, com
a finalidade de se verificar o cumprimento do programa de capacitao.
As auditorias de terceira parte podem ser exemplificadas como as
realizadas por rgos como a CONPORTOS4 e CESPORTOS5, e por outras
organizaes credenciadas, para certificar a instalao porturia como uma
instalao segura, dentro dos padres exigidos pelo ISPS Code.

1.2 Etapas da auditoria

As auditorias dos sistemas de proteo em instalaes porturias
devem ser realizadas em 3 etapas.
A primeira etapa consiste na verificao dos requisitos da norma com
relao elaborao da avaliao de riscos, plano de proteo, normas de
controle de acesso, etc., ou seja, o exame realizado para verificar se esses
documentos foram elaborados de acordo com os requisitos normativos. Nas

4 Comisso Nacional de Segurana Pblica nos Portos, Terminais e Vias Navegveis.

5 Comisso Estadual de Segurana Pblica nos Portos, Terminais e Vias Navegveis.

25

auditorias das normas ISO, esta fase conhecida como auditoria de

adequao ou de inteno.
A segunda etapa consiste no exame operacional do sistema para
verificar se os controles foram implementados de acordo com o estabelecido
nas normas de referncia (ISPS Code, plano de segurana, etc.). a busca da
constatao da conformidade dos controles implementados. Nas auditorias
das normas ISO, esta fase conhecida como auditoria de conformidade.
A terceira etapa consiste na avaliao dos controles implementados
com relao ao objetivo para o qual foram criados. a aferio da eficcia dos
controles do sistema de proteo, ou seja, a fase na qual as evidncias so
analisadas para avaliar se os controles do sistema de proteo atendem aos
objetivos para os quais foram estabelecidos. Nas auditorias das normas ISO,
esta fase conhecida como avaliao da eficcia.

1.3 Auditores
So denominados auditores as pessoas que realizam as auditorias.
Faz-se necessrio que essas pessoas possuam curso de formao de auditores
internos, com conhecimentos na rea de atuao, e que no possuam vnculo
com a rea a ser auditada.
Dependendo do tamanho e complexidade da empresa, poder existir
uma equipe de auditoria.
Quando da realizao de trabalhos de auditoria, se o auditor no
possuir conhecimento especfico daquela rea, a empresa dever designar um
especialista ou um funcionrio que trabalhe naquela funo para acompanhar
o auditor. Esse especialista ou funcionrio no far a auditoria, apenas
fornecer as explicaes necessrias, quando for solicitado pelo auditor ou
sua equipe.
Segundo a NBR ISO 19011 (2002:18-19), o auditor deve possuir os
seguintes atributos pessoais:
a)
tico, isto , verdadeiro, sincero, honesto e discreto;
b)
mente aberta, isto , disposto a considerar idias ou
pontos de vista alternativos;
c)
diplomtico, isto , com tato para lidar com pessoas;

26

d)
observador, isto , ativamente atento
circunvizinhana e s atividades fsicas;
e)
perceptivo, isto , institivamente atento e capaz de
entender situaes;
f)
verstil, isto , que se ajuste prontamente a
diferentes situaes;
g)
tenaz, isto , persistente, focado em alcanar
objetivos;
h)
decisivo, isto , chegue a concluses oportunas
baseado em razes lgicas e anlise; e
i)
autoconfiante, isto , atue e funcione
independentemente, enquanto interage de forma eficaz
com os outros.

1.4 Programa de auditoria

O programa de auditoria o conjunto de auditorias planejadas para
um determinado perodo. O programa pode ter objetivos variados e deve ter
uma pessoa designada para coorden-lo.
Programa de auditoria o conjunto de uma ou mais auditorias planejadas para
um determinado perodo de tempo e com finalidade especfica (NBR ISO
19.011:2002).
O programa exige planejamento especfico, e nele deve constar,
principalmente, o fornecimento dos recursos, o estabelecimento de
procedimentos de auditoria para a realizao das auditorias planejadas, bem
como o responsvel pela sua implementao.
O programa de auditoria dever conter: o objetivo do trabalho e sua
justificao; a metodologia a ser empregada nos exames; a diviso do
trabalho em fases e suas especificaes; os papis de trabalho a serem
utilizados; o estudo de trabalhos de auditoria anteriormente realizados, e o
prazo para a entrega do relatrio, certificado ou parecer.
O programa dever ainda conter os procedimentos para as auditorias,
incluindo o planejamento das auditorias, a forma de seleo das equipes de
auditoria ou auditores, a realizao das auditorias, e o seu complemento e
registro.

27

O programa de auditoria o detalhamento, por escrito, do que fazer,

como fazer, por que fazer, estabelecendo prazo e mtodo para o trabalho.
1.4.1 Elementos de um programa de auditoria
Um programa bsico de auditoria deve possuir os seguintes
elementos: os objetivos; a abrangncia; as responsabilidades, recursos e
procedimentos do programa de auditoria; os procedimentos do programa; a
sua implementao; os registros, e o monitoramento e a sua anlise crtica.
Objetivos
Os objetivos de um programa de auditoria devem expressar tudo
aquilo que o programa se destina a alcanar. Esses objetivos devem estar
alinhados com os objetivos dos negcios da organizao, e levar em
considerao os principais riscos para a continuidade desses negcios.
A NBR ISO 19011:2002 estabelece que, na elaborao dos objetivos do
programa de auditoria, devem ser considerados: prioridades da direo;
intenes comerciais; requisitos do sistema de gesto, requisitos estatutrios,
regulamentares e contratuais; necessidade de avaliao de fornecedor;
requisitos do cliente; necessidades de outras partes interessadas, e riscos para
a organizao.
Como exemplo de objetivos de um programa de auditoria para uma
instalao porturia, podemos apresentar:
a) Satisfazer requisitos para a certificao das instalaes porturias;
b) Verificar a conformidade desses requisitos;
c) Contribuir para melhorar o sistema de segurana, de forma contnua; e
d) Manter as instalaes porturias seguras, de acordo com normas
especficas.
Abrangncia
A abrangncia inclui a extenso e a durao de cada auditoria, e tem
relao direta com o tamanho da organizao, sua natureza e complexidade.
Quando da elaborao do programa, o encarregado pelo mesmo dever
apontar a frequncia com que as auditorias devero ser realizadas, quais as
atividades que devero ser auditadas e quais os documentos-base para o

28

exame. Observe-se que no h como precisar o perodo da realizao de

auditorias especiais (aquelas que so demandadas por eventos no previstos),
mas preciso ser colocado que as auditorias especiais devero ser iniciadas
em qualquer tempo, desde que sejam necessrias.
Nas organizaes que manuseiam produtos de risco, ou que estejam
em reas de risco, ou que estejam sob a constante fiscalizao de agentes do
poder pblico, devero ter uma amplitude maior em seu programa e uma
frequncia maior de auditorias a serem contempladas.
Responsabilidades, recursos e procedimentos
O responsvel pelo programa de auditoria dever ser o auditor lder
ou, na ausncia dele, um executivo da empresa ou funcionrio designado para
tal obrigao. Se a instalao porturia no possuir auditor, ou pessoal
qualificado para tal finalidade, o programa poder ser elaborado por um
especialista e ser aprovado pelo staff ou pelo presidente da empresa.
A NBR ISO 19011:2002 recomenda que o responsvel pelo programa de
auditoria possua conhecimento sobre princpios de auditoria, competncias
dos auditores, aplicao das tcnicas de auditoria, e que estabelea os
objetivos, abrangncia, responsabilidades e procedimentos do programa de
auditoria, assegurando os recursos para a sua implementao, alm de
manter os registros do programa, e de monitorar e analisar o programa para a
sua melhoria contnua.
A norma recomenda, ainda, que os procedimentos para um programa
de auditoria devem contemplar: planejar e programar auditorias; assegurar a
competncia de auditores e lderes de equipe de auditoria; selecionar equipes
de auditoria apropriadas e designar suas funes e responsabilidades; realizar
auditorias; realizar aes de acompanhamento de auditorias; manter registros
do programa de auditoria; monitorar o desempenho e eficcia do programa; e
informar alta direo as realizaes globais do programa de auditoria.
Implementao
A implementao de um programa de auditoria envolve todas as
aes para pr em prtica o programa, e vai desde a comunicao do
programa s partes envolvidas at as aes de avaliao desse programa.

29

Registros
Todos os registros relativos implementao do programa de
auditoria devero ser mantidos, tais como: os planos de auditoria, os papis
de trabalho, os relatrios, as aes adotadas para correo e
acompanhamento, etc., ou seja, tudo aquilo que estiver relacionado com a
auditoria.
Monitoramento e anlise crtica do programa de auditoria
O monitoramento e a avaliao do programa devem ser previstos para
que se possa realizar uma anlise crtica do programa, melhorando-o e
adequando-o s mudanas necessrias.
Em tal avaliao, devem ser observados os registros do programa de
auditoria, que so os planos de auditoria, os relatrios de no conformidade,
os relatrios de ao corretiva e preventiva e os de acompanhamento de
auditorias.
Outro fator importante o estabelecimento de indicadores de
desempenho para se avaliar a equipe de auditoria.
A anlise crtica do programa de auditoria deve ser realizada levandose em considerao os resultados das auditorias realizadas, confrontando-se
as conformidades e no conformidades encontradas com os procedimentos
auditados, para se poderem verificar as solues apresentadas, identificando
novas demandas de auditorias para novos programas de auditoria.

1.5 Atividades de auditoria

Concludo o programa de auditoria, d-se incio s atividades de
auditoria. Elas compreendem um conjunto de atividades que vo desde o
planejamento e o gerenciamento dessa atividade at as aes de
acompanhamento das recomendaes feitas por conta das no
conformidades encontradas, e de sugestes para a melhoria dos sistemas
auditados.
Para um melhor entendimento, nossa abordagem ser dividida nas
seguintes etapas: planejamento, execuo e acompanhamento da auditoria.

30

1.5.1 Planejamento da auditoria

O encarregado do programa de auditoria dever designar o lder da
equipe de auditoria, ou o auditor que vai executar a auditoria especfica.
O responsvel pela execuo da auditoria dever elaborar o
planejamento da sua auditoria, que materializado no plano de auditoria.
O plano de auditoria dever conter o objetivo e o escopo da auditoria,
a identificao do auditor ou dos integrantes da equipe de auditoria, as datas
e os locais, bem como as reas a serem auditadas. No devendo se esquecer
de verificar as questes de logstica e o prazo referencial para o encerramento
dos trabalhos, como tambm do critrio de auditoria6.
Contato inicial com o auditado
Para elaborar o seu planejamento, faz-se necessrio que o auditor
realize uma visita prvia ao local para in loco verificar e analisar as
peculiaridades daquela auditoria, e poder atingir o melhor resultado possvel
em seus trabalhos.
Para isso deve ser estabelecido o contato inicial com o auditado, o
qual tem, tambm, como objetivo estabelecer um canal de comunicao entre
eles (auditor-auditado). Esse contato de uma preciosidade muito grande,
pois uma auditoria bem realizada no s valoriza os auditores, como tambm
deixa transparente para os auditados que as auditorias so benficas para eles
e a instituio, e ratificam-se como peas importantes para a gesto como um
todo, pois estaro zelando pela manuteno das conformidades dos
procedimentos ali estabelecidos.
Apesar de o contato inicial poder ser feito informalmente,
importante que seja feito por documento ou correio eletrnico, para que
fique registrado. Esse contato deve ser realizado pelo auditor ou lder da
equipe de auditoria, e tambm pode ser realizado pelo encarregado do
programa de auditoria7.
6 Critrios de auditoria so usados como uma referncia contra a qual a evidncia da auditoria
comparada, e incluem polticas, procedimentos e requisitos (NBR ISO 19011:2002).
7 Ateno especial deve ser dada nesse momento, pois quando a comunicao da realizao da
auditoria for feita pelo encarregado do programa, ele dever fornecer, de imediato, o nome do
auditor que ir conduzir a auditoria, especificando a data e a hora da visita prvia que aquele ir

31

No contato inicial, confirmado o nome do auditor que vai conduzir a

auditoria, informa-se sobre a durao prevista para os trabalhos, solicita-se o
acesso aos documentos, incluindo os registros pertinentes rea a ser
auditada.
Devem ser levantadas pelo auditor, durante a visita prvia, as regras
de segurana exigidas para o local, para que seja possvel delimitar quais as
atividades que devero ser ajustadas para o exerccio dos trabalhos de
auditoria, o que pode ser, por exemplo, o isolamento da rea, ou placa
informando que aquela rea est sob auditoria, ou a necessidade de
acompanhamento por um especialista da atividade auditada para gui-lo ou
garantir sua segurana8.
Objetivos da auditoria
A definio dos objetivos da auditoria estabelece o que para ser
realizado. Evita que o auditor perca o foco do seu trabalho, e devem ser
estabelecidos de modo que atendam s necessidades da organizao, no que
tange ao que ela espera alcanar do sistema de controle em determinado
prazo.
No caso especfico de instalaes porturias, com relao proteo,
um dos objetivos das auditorias o de certificar a conformidade do
funcionamento do sistema de segurana da instalao porturia com o ISPS
Code, para que a instalao possa garantir a Declarao de Cumprimento do
ISPS Code9, e assim manter-se em um mercado competitivo e cada vez mais
exigente.
Para isso, faz-se necessrio que o auditor compreenda no s os
negcios da instalao porturia como a extenso da importncia da auditoria
realizar.
8 Como as instalaes porturias esto com procedimentos de segurana definidos, que em
algumas reas o trfego de pessoas (estivadores, passageiros, funcionrios, etc.) intenso e
controlado, e que o auditor uma pessoa estranha rea, aconselhvel que a rea seja
identificada com placas que informem sobre a auditoria. Nesse caso, um funcionrio do setor
poder acompanhar os trabalhos.
9
Declarao por meio da qual certifica-se que a respectiva Instalao Porturia cumpre as
disposies do Captulo XI-2 e da Parte A do Cdigo Internacional para Proteo de Navios e
Instalaes Porturias Cdigo ISPS e o previsto no seu Plano de Segurana Pblica Porturia
aprovado pela Comisso Nacional de Segurana Pblica nos Portos, Terminais e Vias Navegveis
CONPORTOS. (Resoluo n 26, de 08 de junho de 2004 da CONPORTOS).

32

para a continuidade desses negcios. Na prtica, os objetivos geralmente so

demandados pela instalao porturia, que entendida como o cliente de
uma auditoria, e, com base nela, o auditor ir transform-la nos objetivos da
auditoria.
Como exemplo de objetivos, podemos citar:
Verificar o cumprimento das normas do ISPS Code;
Avaliar a eficcia das normas de controle de acesso Zona Primria;
Identificar as reas da Zona Primria que devero ser melhoradas, no
tocante proteo das instalaes porturias;
Verificar a conformidade dos procedimentos da vigilncia porturia.
Anlise crtica de documentos
A anlise crtica deve ser feita sobre os documentos-base nos
sistemas, nos relatrios de auditorias realizadas, em documentos correlatos, e
considerar, igualmente, a natureza e a complexidade da organizao, os
objetivos e o escopo da auditoria.
No caso dos relatrios anteriores, importante destacar as no
conformidades encontradas para enfatizar durante a auditoria tais
verificaes.
Checklist
Aps a anlise prvia dos documentos-base e demais documentos que
serviro como referncia para a realizao da auditoria, o auditor elaborar a
lista de verificao ou Checklist10, documento no qual constam os itens a ser
verificados.
Notificao ao auditado
Depois de concludo o planejamento (plano de auditoria), faz-se
necessrio que o auditor notifique, por escrito, a rea a ser auditada,
informando-a dos objetivos da auditoria, sua abrangncia, as datas e os locais,
da estrutura de apoio de que necessitar para a execuo dos trabalhos, e do

10 Maiores detalhes sobre a elaborao de listas de verificaes sero abordadas em captulo

especfico.

33

horrio de trabalho dos auditores, dentre outros aspectos que julgar

necessrio informar.
1.5.2 Execuo da auditoria
Aps o planejamento da auditoria, inicia-se a fase da sua execuo.
Para uma abordagem didtica e melhor compreenso, dividimos essa fase nas
seguintes etapas: reunio de abertura, execuo da auditoria, relatrio da
auditoria e reunio de encerramento.
Reunio de abertura
A reunio de abertura caracteriza o incio dos trabalhos da auditoria.
Ela realizada com a direo ou representantes do auditado11.
Na reunio de abertura, o auditor ou lder da equipe de auditoria
(quando for o caso) fornecer um resumo de como as atividades sero
realizadas, relatando o mtodo e os procedimentos a serem utilizados, a
forma como se dar a comunicao entre auditor e auditado, como tambm
confirmar a disponibilidade de meios e recursos necessrios equipe, bem
como a data e a hora prevista para a reunio de encerramento e outras
reunies que julgar necessrias.
Nessa reunio deve ser aberto um espao para que o auditado faa
perguntas, a fim de que sejam esclarecidas todas as dvidas sobre os
trabalhos propostos.
comum observar certa expectativa e tenso por parte do auditado
nas reunies de auditoria. Para que isso possa ser minimizado, na primeira vez
que for ser realizada a auditoria na instalao porturia, e na primeira vez que
for realizada auditoria com nova equipe, importante e fundamental que essa
reunio seja bastante explicativa, de modo a quebrar a resistncia inicial de
tais auditorias, pois a prtica aponta que em auditorias realizadas sempre
percebida uma certa resistncia devido incerteza por parte dos auditados de
que as tarefas estejam sendo realizadas de acordo com o que est previsto
nos documentos-base, ou seja, de acordo com os padres estabelecidos.
11 importante que participe dessa reunio o responsvel pelo setor, funes ou processos a
serem auditados.

34

Como as auditorias nas instalaes porturias surgiram para manter

uma certificao de amplitude internacional e preservar os padres de eficcia
do sistema de proteo como um todo, torna-se ainda mais necessrio realizar
essas reunies para que sejam afastados a impresso e o rtulo de que as
auditorias penalizam aqueles que no estejam cumprindo os padres
determinados. Elas so e devem ser ferramentas para uma boa gesto, e no
um instrumento punitivo.
lgico que no conformidades sero encontradas em auditorias,
principalmente na primeira auditoria, e que as pessoas que trabalham nesses
setores no ficaro vontade ao saber que no esto executando as suas
atividades dentro do padro estabelecido, o que pode gerar um clima de
tenso e at mesmo mal-estar, o que poder prejudicar o andamento dos
trabalhos da auditoria e as atividades da instalao porturia, alm de
constituir um obstculo para novas auditorias.
por isso que os objetivos dessa auditoria devem ser muito bem
expostos e quaisquer dvidas bem esclarecidas, pois precisa ser ratificado que
a auditoria deve constituir uma importante ferramenta de gesto e no um
ato inquisitorial.
A NBR ISO 19011:2002 estabelece que os propsitos da reunio de
abertura so confirmar o plano de auditoria; fornecer um pequeno resumo de
como as atividades da auditoria sero empreendidas; confirmar canais de
comunicao, e fornecer oportunidade para o auditado fazer perguntas.
Essa norma apresenta um roteiro para a reunio de abertura, o qual
reproduzimos abaixo:
a)
Apresentao dos participantes, incluindo um
resumo de suas funes;
b)
Confirmao dos objetivos, escopo e critrio de
auditoria;
c)
Confirmao da programao da auditoria e outros
arranjos pertinentes com o auditado, como a data e
durao da reunio de encerramento, qualquer reunio
intermediria entre a equipe da auditoria e a direo do
auditado, e qualquer mudana de ltima hora;
d)
Mtodos e procedimentos a serem usados para
realizar a auditoria, incluindo um alerta ao auditado que a
evidncia de auditoria ser somente uma amostra das

35

informaes disponveis e que, dessa forma, h um

elemento de incerteza ao se auditar;
e)
Confirmao dos canais formais de comunicao
entre a equipe de auditoria e o auditado;
f)
Confirmao do idioma a ser usado durante a
auditoria;
g)
Confirmao de que o auditado ser mantido
informado do progresso da auditoria, durante a auditoria;
h)
Confirmao de que os recursos e instalaes
necessrios equipe da auditoria esto disponveis;
i)
Confirmao
de
assuntos
relativos

confidencialidade;
j)
Confirmao de procedimentos pertinentes de
segurana no trabalho, emergncia e segurana para a
equipe de auditoria;
k)
Confirmao da disponibilidade, funes e
identidades de quaisquer guias;
l)
Mtodo de relatar, incluindo qualquer classificao
de no conformidade;
m)
Informaes sobre condies nas quais a auditoria
pode ser encerrada, e
n)
Informaes sobre quaisquer sistema de apelao
referente realizao ou concluso da auditoria.

Execuo da auditoria
A execuo ou a auditoria propriamente dita caracteriza-se pela ao
ou aes dos auditores na verificao das conformidades. Essa verificao
realizada com a utilizao de listas de verificao ou checklist.
A execuo da auditoria um trabalho de coleta de informaes e de
checagem da veracidade dessas informaes, mediante o emprego dos
procedimentos de auditoria. uma grande tarefa de verificao do sistema de
controle interno da organizao, para ao final emitir o seu parecer no relatrio
da auditoria.
A execuo geralmente desenvolvida mediante entrevistas,
observao das atividades e anlise crtica de documentos.

36

1- Observao das atividades:

A observao das atividades (engloba o local das atividades e o
ambiente circunvizinho) muito importante, pois dependendo do nvel de
percepo do auditor, ele poder verificar algumas vulnerabilidades de
controle e posterior questionamento quando da entrevista e da aplicao das
perguntas diretas constantes do checklist.
Algumas peculiaridades do local de trabalho no so percebidas nas
entrevistas nem constam nos documentos-base, apenas so detectadas por
meio da observao dessas atividades.
Como exemplo podemos citar que determinada prtica de um posto
de controle de acesso no esteja descrito como um procedimento e que, pela
cultura de segurana do local, tal fato possa se constituir numa normalidade,
porm, aps a observao ser feita pelo auditor, ele constate que aquela
prtica costumeira constitui uma vulnerabilidade ao presente sistema, e
dever de imediato ser corrigida, ou seja, semelhante prtica deve ser
eliminada e registrada em procedimento para minimizar tal vulnerabilidade.
Exemplo: Pessoas que se dizem policiais que esto em investigao,
ou agentes pblicos que apenas dizem e mostram a carteira funcional, sem
que isso seja confirmado pelo posto de controle ou avisado central de
operaes para checagem posterior, quando tal fato pode ser um estudo de
situao para uma invaso e aes delituosas, como extorso, furto ou roubo
de cargas.
2-Entrevistas com funcionrios
A entrevista deve seguir a um roteiro, mas no se limitar a ele, pois um
fato observado, mesmo sendo uma conformidade encontrada, pode gerar
pergunta futura que contribuir para melhorar a qualidade do sistema de
proteo. Nesses casos, os registros devem ser feitos em papis de trabalho,
parte.
comum o entrevistado apresentar certo grau de nervosismo e at
ser rude com o auditor. Nesses casos, compete ao auditor esclarecer o
propsito da auditoria e avaliar se deve continuar, ou no, o seu trabalho, pois
na atividade de verificao e coleta de dados, o fator humano o mais
importante por se constituir na mais qualitativa das fontes de informao. Se
no existir um canal de simpatia entre as partes (auditor-auditado), essa

37

atividade essencial poder ser prejudicada. Da a necessidade de o auditor se

compenetrar no objetivo de seu trabalho e manter essa faixa de acordo para o
fluxo regular das atividades de auditoria.
3-Anlise de documentos
A primeira anlise a ser feita, como j foi abordado, nos documentosbase. No local, a busca de documentos deve ser focada nos procedimentos
definidos e nas normas gerais, se constam ou no no local, e os registros nos
livros de ocorrncias, ou documento semelhante para registro, em cada local
em que a auditoria estiver sendo realizada.
Aps as anlises dos documentos, no local de auditagem, deve ser
feita uma busca nos arquivos para verificar registros anteriores com relao
ao posto de controle, por exemplo, e quaisquer outros registros com relao
ao sistema de segurana, sejam com relao ao auditado ou no, pois nesses
registros podero ser encontradas situaes que possam vir a se repetir e
comprometer a proteo daquele local, ou do sistema como um todo.
De posse dessas informaes coletadas e registradas nas listas de
verificaes, nos questionrios e nas anlises dos documentos e em outros
papis de trabalho, o auditor efetuar a avaliao do trabalho de campo e dos
procedimentos de auditoria para certificar-se de que os testes realizados nas
reas mais provveis a no conformidades foram eficazes, avaliar o grau de
risco das no conformidades encontradas para o comprometimento do
sistema de controle, e se no h mais exame residual a ser feito para o
encerramento da auditoria.
1.5.3 Encerramento da auditoria
O encerramento da auditoria deve ser precedido de uma reunio com
os auditores, ou de atividades de anlise procedidas pelo auditor sobre as
constataes encontradas. Essa anlise deve levar em considerao quaisquer
informaes obtidas durante a realizao da auditoria, que tenham relao
com o objetivo da auditoria para a concluso dos trabalhos.
Na concluso, observam-se as incertezas inerentes ao processo de
auditoria, as recomendaes feitas, e so discutidas as aes de
acompanhamento para a melhoria do sistema de controle.

38

A NBR ISO 19011:2002 indica que a concluso da auditoria pode

apontar os seguintes assuntos:
a) A extenso da conformidade do sistema de gesto
com o critrio de auditoria;
b) A implementao eficaz, manuteno e melhoria do
sistema de gesto, e
c) A capacidade do processo de anlise crtica pela
direo em assegurar a contnua pertinncia, adequao,
eficcia e melhoria do sistema de gesto.

Aps concluda a auditoria, marcada a reunio de encerramento.

Reunio de encerramento
A reunio de encerramento deve ser previamente agendada,
conduzida pelo auditor que executou a auditoria ou pelo auditor lder (quando
for o caso). Objetiva apresentar as constataes encontradas e propor
medidas corretivas e saneadoras.
Essa exposio deve ser clara e objetiva, de tal forma que os fatos
relatados sejam compreendidos e demonstradas as necessidades e
importncia das medidas propostas para a melhoria do sistema de gesto
como um todo.
Devem participar dessa reunio os auditores, auditados e os clientes
da auditoria.
A reunio no deve ser limitada apenas exposio de no
conformidades. importante que os auditores que realizaram o trabalho da
auditoria, faam relatos de detalhes que observaram para a melhoria do
sistema, pois s vezes comum que tais observaes, por extrapolarem o
trabalho realizado, no venham a ser expostas, o que compromete a eficcia
do sistema de proteo das instalaes porturias.
Ratificamos que nem sempre o que foi estabelecido na lista de
verificaes tem um alcance na checagem de um pequeno detalhe que pode
pr em risco a integridade de um sistema, mesmo que naquela instalao
porturia no haja indcios e histrico de irregularidades quanto s normas e
aos procedimentos e proteo estabelecidos.
Dessa forma, o auditor valoriza o seu trabalho e mostra que a sua
capacidade de observao no exerccio de sua atividade agregou valor quela

39

instalao, criando vantagem competitiva ao fornecer informaes para uma

ao mais austera no sistema auditado.
Esses fatos so comuns quando normas e procedimentos so
deficientes. O auditor observa, verifica e testa essa lacuna, que constitui uma
vulnerabilidade do sistema auditado. comum em procedimentos e postos de
controle de acesso.
A reunio moderna no apenas para a exposio por parte dos
auditores. Serve tambm como frum de debate sobre as constataes
apresentadas, pois dessa reunio sairo importantes medidas e ajustes para a
confeco do relatrio.
Relatrio da auditoria
O relatrio de auditoria o documento que relata todo o trabalho
realizado, e deve ser elaborado de forma precisa, concisa e clara.
A NBR ISO 19011:2002 orienta que os relatrios de auditoria devem
incluir:
a)
Os objetivos da auditoria;
b)
O escopo da auditoria, particularmente a
identificao das unidades organizacionais e funcionais, ou
os processos auditados e o perodo de tempo coberto;
c)
Identificao do cliente da auditoria;
d)
Identificao do lder da equipe de auditoria e seus
membros;
e)
As datas e lugares onde as atividades da auditoria
foram realizadas;
f)
O critrio da auditoria;
g)
As constataes da auditoria;
h)
As concluses da auditoria;

O relatrio tambm pode incluir ou se referir ao seguinte, se

apropriado:
i)
O plano de auditoria;
j)
Uma lista de representantes do auditado;
k)
Um resumo do processo de auditoria, incluindo
obstculos e/ou incertezas encontrados que poderiam
diminuir a confiabilidade das concluses da auditoria;

40

l)
A confirmao de que os objetivos da auditoria
foram atendidos dentro do escopo da auditoria e em
conformidade com o plano de auditoria;
m)
Quaisquer reas no cobertas, embora dentro do
escopo da auditoria;
n)
Quaisquer opinies divergentes e no resolvidas
entre a equipe da auditoria e o auditado;
o)
As recomendaes para a melhoria, se especificado
nos objetivos da auditoria;
p)
O plano de ao de acompanhamento negociado, se
existir;
q)
Uma declarao da natureza confidencial dos
contedos;
r)
A lista de distribuio do relatrio da auditoria.

Depois de elaborado, o relatrio dever ser entregue aos clientes da

auditoria e s partes auditadas, para que elas tenham o registro da auditoria e
verifiquem os motivos das no conformidades. Ele pertence ao cliente da
auditoria. Ambos cliente e auditor - devem guardar sigilo desses fatos, ou
seja, manter a sua confidencialidade.
Concluso da auditoria
A auditoria considerada concluda quando todas as atividades
descritas no plano de auditoria foram realizadas e o relatrio da auditoria
aprovado e distribudo.
Todos os registros, papis de trabalho e outros documentos devem
ser arquivados em local apropriado, pelos auditores ou pela equipe de
auditoria, para que possam vir a servir de documentos-base para novas
auditorias.
Fatos importantes descobertos em auditorias devem ser debatidos em
reunies e treinamentos para que haja uma aprendizagem, e com isso os
sistemas de gesto da segurana possam tornar-se mais confiveis.
Aes de acompanhamento
Quando a auditoria conclui pela necessidade de aes saneadoras e
preventivas, ou de melhoria de um sistema, tais aes so implementadas
pelo auditado, e no pelo auditor, pois no mais fazem parte da auditoria.

41

A verificao dessas medidas parte de uma nova auditoria, que pode

ser denominada de auditoria de acompanhamento.

1.6 Procedimentos de auditoria

Procedimentos de auditoria so as tcnicas que o auditor utiliza para a
realizao de seu trabalho, consistindo na reunio das informaes possveis e
necessrias e na avaliao das informaes obtidas para formar sua opinio.
Os principais procedimentos so: exame fsico, confirmao, exame de
documentos originais, conferncia de clculos, exame de escriturao,
investigao minuciosa, inqurito, exame dos registros auxiliares, correlao
das informaes obtidas e observao. (IUDCIBUS; MARION, 2001, p.158).
Esses procedimentos so utilizados para a obteno de evidncias e
formao da opinio do auditor.
1.6.1 Evidncias de auditoria
Evidncias de auditoria so os registros, a apresentao de fatos ou
informaes colhidas durante a auditoria que, depois de comparados,
objetivam constatar as conformidades e as no conformidades.
Jund (2002, p.294-296) distribui as evidncias em cinco classes: fsica,
documental, analtica, testemunhal e por confirmao de terceiros.
A evidncia fsica obtida pela comprovao da existncia real de
componentes do patrimnio e da realizao de obras e servios.
A evidncia documental, como o prprio nome j a define, resulta de
comprovaes em documentos, registros, faturas, desde que proporcionem
confiabilidade ao auditor.
A evidncia analtica consiste nas anlises e revises de clculos, que
devem ser registradas nos papis de trabalho.
A evidncia testemunhal obtida de pessoas que conhecem a
organizao auditada e fornecem declaraes sobre perguntas formuladas
por escrito e tambm que lhes foram feitas diretamente.
A evidncia por confirmao de terceiros ou circularizao consiste
na confirmao, por escrito, de terceiros, em relao a determinados fatos, ou

42

seja, so as confirmaes de fornecedores, prestadores de servios, bancos,

clientes e outros.
Segundo o IS Standards, Guideliness and Procedures for Auditing and
Control Professionals, o auditor dever utilizar os procedimentos mais
apropriados para reunir as evidncias, bem como considerar os seguintes
procedimentos: entrevista, observao, inspeo, confirmao e
monitoramento (ISACA, 2006).
Para que a evidncia seja suficiente, confivel e relevante, convm ao
auditor fazer anlises por meio de comparaes, simulaes, clculos e testes.
Na busca dessas evidncias so utilizadas as tcnicas de auditoria.
1.6.2 Tcnicas de auditoria
Tcnica de auditoria o conjunto de procedimentos que permite
alcanar as constataes de auditoria.
As principais tcnicas so:
a) Circularizao ou confirmaes formais, que utilizada para a obteno
de declarao formal de pessoas independentes da organizao auditada;
b) Exame da documentao original, que utilizada para a comprovao
das transaes realizadas;
c) Conferncia de somas e clculos;
d) Exames dos lanamentos contbeis, que objetivam verificar a veracidade
das informaes contbeis;
e) Entrevistas, que so perguntas feitas diretamente s pessoas para a
obteno de respostas;
f) Exames de livros e registros auxiliares;
g) Correlao entre as informaes obtidas, que o cruzamento das
informaes obtidas nos exames realizados, e
h) Observao das atividades.
Conforme foi visto, por meio dos procedimentos de auditoria o
auditor utiliza tcnicas para obter as evidncias de auditoria, isto , ao
compar-las com os critrios de auditoria adotados, escolhe, avalia e
confronta essas evidncias, a fim de constatar as conformidades e as no
conformidades encontradas.

43

1.6.3 Constataes de auditoria

Constataes de auditoria so o resultado da avaliao de evidncia
da auditoria que, comparadas com os critrios de auditoria, atesta as
conformidades e as no conformidades. a aprovao, a confirmao.
So os procedimentos de auditoria, portanto, que permitem ao auditor obter
as evidncias de auditoria e as provas para fundamentar a sua opinio sobre o
exame realizado. Na busca de evidncias de auditoria, o auditor realiza testes
que servem para avaliar o sistema auditado.
1.6.4 Papis de trabalho
Os procedimentos seguidos pelo auditor so registrados nos papis de
trabalho, que constituem um registro permanente dos servios executados, e
devem possuir detalhes suficientes para o entendimento do trabalho
realizado e a elaborao do relatrio final.
Segundo Jund (2002:385), os papis de trabalho destinam-se a:
a) Ajudar, pela anlise dos documentos de auditoria
anteriores, ou pelos coligidos, quando da contratao de
uma primeira auditoria, no planejamento e execuo da
auditoria;
b) Facilitar a reviso do trabalho da auditoria;
c) Registrar as evidncias do trabalho executado para
fundamentar o parecer do auditor independente.

O relatrio de auditoria consiste na explanao circunstanciada dos

fatos examinados. por meio dele que o auditor esclarece o trabalho e a
forma como o realizou, os fatos relevantes, as no conformidades
encontradas e as suas concluses.
Os relatrios dizem respeito ao trabalho realizado, e suas cpias so
arquivadas juntamente com os respectivos papis de trabalho.

44

1.6.5 Procedimentos de auditoria X procedimentos do auditor

Os procedimentos de auditoria so, consequentemente, as tcnicas
que o auditor utiliza para a realizao de seu trabalho. J os procedimentos do
auditor referem-se ao seu proceder, sua conduta, ao seu comportamento.
Os procedimentos de um auditor podem limitar-se apenas maneira
pela qual o auditor ser apresentado unidade a ser auditada, sobre o acesso
s instalaes da unidade auditada, que dever utilizar papis de trabalho e
que estes ltimos sero preenchidos manualmente.
Exemplo de procedimentos do auditor:
1- Realizar uma reunio inicial para apresentar a equipe de auditores e
resumir os mtodos a serem utilizados durante a auditoria;
2- Executar os trabalhos com base no plano de auditoria;
3- Elaborar o checklist;
4- Registrar evidncias em papis de trabalho;
5- Realizar a reunio de encerramento com o auditado;
6- Elaborar o relatrio da auditoria.
Procedimentos de auditoria12:
1- Exame fsico da documentao-base que deve constar no posto de
acesso, e que servir de suporte ao agente de segurana que ali estiver
trabalhando;
2- Confirmao com a central de operaes se determinada pessoa, que
est acessando a instalao porturia, consta de relao especfica, e conferir
(conferncia), posteriormente, na central; repetir tal procedimento para cada
situao especificada no exemplo acima citado;
3- Realizar investigao minuciosa para identificar o motivo da no
conformidade encontrada no controle de acesso de trabalhadores avulsos,
bem como o de tripulantes e oficiais de embarcaes fundeadas;
4- Efetuar exame dos registros auxiliares (livro de ocorrncias e pasta com
autorizaes de encarregados de setor);
5- Observar (observao) e correlacionar (correlao) as informaes
obtidas para obter as evidncias de auditoria.
12 Para a finalidade a que se destina este livro, apenas citaremos alguns procedimentos.

45

46

2 AUDITORIA EM INSTALAES PORTURIAS

No captulo anterior a auditoria foi abordada de uma forma ampla,
focando os seus tipos, procedimentos, programas, etc., para se poder ter uma
viso do que seja a atividade de auditoria. Neste captulo, ser abordada a
auditoria direcionada para as instalaes porturias, ou seja, a auditoria como
uma ferramenta indispensvel para o bom funcionamento dos sistemas de
proteo de instalaes porturias, em conformidade com o ISPS Code.
Esse cdigo estabeleceu um conjunto de atividades indispensveis
para o estabelecimento de um sistema de proteo, com aplicabilidade nos
navios envolvidos em viagens internacionais e nas instalaes porturias que
servem a esses navios.
Dentre as vrias normas que regulamentam o segmento porturio e
suas corporaes, embarcaes e suas companhias, de um modo geral, o ISPS
Code o ponto em comum a todos eles. De alcance internacional e adotado
em conveno pelos pases que fazem parte da Organizao Martima
Internacional (IMO), o cdigo tem como objetivo melhorar a segurana e a
vida no mar.
Esse fato foi o ponto de partida para todo um esforo desse
segmento, a partir de dezembro de 2002, para se adequar s novas normas
internacionais de proteo, que entrariam em vigor a partir de julho de 2004.
A repercusso que esse cdigo internacional trouxe para as
instalaes porturias, embarcaes e suas companhias de um alcance
muito amplo e de consequncias severas. No obstante a necessidade de
manterem um sistema de proteo em atendimento ao que preconiza o
cdigo, essas embarcaes e organizaes tero, ainda, de garantir o seu
perfeito funcionamento.
Justamente na busca dessa conformidade que surge a auditoria
como a ferramenta para garantir a plena conformidade desses sistemas de
proteo com essa norma internacional para a proteo e a vida no mar.
Como possvel perceber, a auditoria torna-se indispensvel e de uma
responsabilidade imensurvel, requerendo aes e procedimentos especficos
para a sua atividade nesse segmento. Essas aes vo desde a necessidade de

47

formao de auditores internos at o estabelecimento dos procedimentos

para a execuo da auditoria.
Nesse aspecto, deve-se ter um cuidado ilimitado para que tal atividade
no seja prejudicada por pessoal desqualificado, nem, tampouco, que a busca
frentica pela certificao como instalaes seguras contribua para a
formao de um cenrio vulnervel concretizao de riscos que
comprometam os sistemas de proteo e a continuidade das atividades na
rea porturia.
do conhecimento de todos que a certificao um passaporte para
agregar valor aos negcios, mas tambm somos conscientes de que, mais
importante do que obter uma certificao, garantir a funcionalidade eficaz
dos sistemas de controle e proteo como um todo. A quebra da segurana
de uma instalao certificada da mais alta criticidade e, com certeza,
colocar no s a credibilidade do sistema em questo mas tambm as
credenciais das organizaes de segurana. Para que isso no acontea,
surgem os profissionais de auditoria e suas empresas.
A certificao pode ser considerada como um prmio pela
conformidade com os requisitos da norma. Para conquistar esse prmio,
primordial toda uma preparao a ser elaborada por consultores e auditores.
Os consultores, com suas atividades de avaliao de riscos, definio de
polticas, elaborao de planos de proteo, e procedimentos especficos,
etc., os auditores com as suas atividades para o exame de tudo o que compe
o sistema de proteo, o que exigir deles um conhecimento alm daquele
inerente s atividades especficas da auditoria.
Essas auditorias em instalaes porturias devero alcanar os seus
trs tipos, e no apenas aquelas voltadas para a certificao. Como foi visto
no captulo anterior, a auditoria pode ser interna e externa. A interna
(auditoria de primeira) aquela realizada na organizao pela prpria
organizao, ou por algum contratada por ela para realiz-la. E a externa
pode ser de dois tipos: uma realizada pela organizao nos seus fornecedores
e clientes (auditoria de segunda), e a outra (auditoria de terceira) realizada
por terceiros (auditores independentes e organizaes).
Diante disso, todos aqueles que estejam compreendidos dentro do
campo de aplicao do ISPS Code devero sujeitar-se s auditorias internas e
externas, e no apenas quelas voltadas para a certificao. Observe-se que

48

esse fato no implicar, necessariamente, a formao de um novo setor

dentro de uma instalao porturia e de empresas de navegao, tampouco
um auditor por embarcao, mas demandar servios especficos de auditoria.
Esses servios de auditoria so realizados por auditores, sejam eles
auditores internos, auditores independentes ou auditores de organizaes
certificadoras. Contudo, espera-se que esses servios sejam executados por
pessoal qualificado e com formao para tal, principalmente em se tratando
das especificidades do segmento porturio.
A regulamentao da auditoria para fins de certificao como
instalao segura, conforme preconiza o ISPS Code, de competncia da
CONPORTOS, no Brasil. Por meio da Resoluo no 37, de 21/06/2005, e da
Resoluo no 47 de 07/04/2011, essa comisso disps sobre as auditorias,
emendas, atualizaes e/ou revises dos planos de segurana, e estabeleceu
critrios e disposies para as auditorias, seus procedimentos e a avaliao de
controles de acesso de pessoas, cargas e veculos.
Essas resolues ratificam a necessidade de as instalaes porturias
adotarem a auditoria como a ferramenta de conformidade para com a norma,
e de manuteno da eficcia de seus sistemas de proteo e controle interno.
Elas trazem a mensagem da evoluo do segmento ao se preocuparem com a
manuteno da qualidade da segurana, e abrem verdadeiras oportunidades
para a criao de um ambiente favorvel a uma vantagem competitiva das
instalaes que mantm programas de auditoria e suas atividades regulares,
sobre os concorrentes que no vem a necessidade dessas atividades.
As instalaes porturias no podem cometer o erro de esperar pelas
auditorias da CONPORTOS e de qualquer rgo fiscalizador. Elas devem
manter um programa contnuo de auditoria que fornea o suporte necessrio
para a garantia do perfeito funcionamento de seus sistemas de proteo e
controle interno.
Ressalte-se que auditar no apenas estar de posse de uma lista de
verificaes, para assinalar itens ali postos. Auditar muito mais do que isso.
uma atividade especializada e de comprometimento com a boa governana, e
requer um conjunto de atividades, ferramentas e tcnicas, para ao final o
auditor emitir o seu parecer e contribuir para a continuidade dos negcios.
Auditar no deve ser visto como um mero gasto, mas como uma despesa na
gerao de receitas futuras. Auditar fato gerador de vantagem competitiva.

49

Justamente para que as instalaes porturias possam preparar-se

para as auditorias que foi desenvolvido este captulo. Considerando que o
ISPS Code o principal documento-base para as auditorias em instalaes
porturias, utilizaremos como referncia os domnios dessa norma.13
Antes mesmo de adentrarmos nas auditorias das partes bsicas dos
domnios do ISPS Code, entendemos ser necessrio esclarecer o porqu dos
tipos de auditoria nas instalaes porturias, e como a auditoria poder
contribuir para melhorar um sistema de proteo. justamente por a que
comearemos.

2.1 Tipos de auditoria e sua importncia na proteo de instalaes

porturias
Como j visto anteriormente, as auditorias podem ser interna e
externa. Neste captulo iremos comentar mais sobre essas auditorias nas
instalaes porturias.
Auditoria interna
As auditorias internas devero estar voltadas para verificao do
sistema de controle como um todo, e devero ser realizadas por pessoal de
controle interno ou contratado para tal. Para isso, dever ser observado o
sistema de proteo das instalaes porturias como um todo, bem como os
outros sistemas que interagem com ele.
Os principais aspectos a ser auditados so: a avaliao de riscos, o
plano de proteo (plano de segurana), as normas e procedimentos de
controle de acesso, as atribuies dos oficiais de proteo e da
guarda/vigilncia porturia, dentre outros instrumentos relacionados ao
sistema de proteo.
A auditoria interna poder ser utilizada para verificar o nvel de
proteo atual e compar-lo com o nvel de proteo ideal (planejado),

13

Os pontos abordados neste livro podero no se aplicar a toda organizao, devendo o

auditor consider-los na elaborao de seu trabalho, no se limitando apenas aos itens aqui
tratados.

50

realizando assim uma anlise GAP, de modo a poder estabelecer aes que
preencham a lacuna entre o real e o planejado.
Essa anlise poder apontar o estgio de proteo da instalao
porturia. Nesse caso especfico, faz-se necessrio que exista um marco
referencial que identifique os nveis de proteo14, como, por exemplo: nvel 0
no existem controles; nvel 1- inicial (reconhecimento da necessidade de
controles, mas no implantados); nvel 2 controles implantados
(insuficientes, apenas para algumas atividades e sem consistncia); nvel 3
controles implantados e processos definidos (caracterizado pela definio dos
processos de controle); nvel 4 controles gerenciveis e mensurveis
(controles e processos definidos e funcionrios capacitados nas suas
atividades de controle); nvel 5 o ideal, caracterizado pela completeza de
todas as medidas de controle planejadas e implantadas.
Outra forma de emprego da auditoria interna destina-se a verificar as
medidas de tratamento dos riscos. Nessa verificao devem ser analisadas as
prioridades apontadas na avaliao de riscos e executar a auditoria,
verificando a implementao dessas medidas e avaliando o impacto da no
implementao nos processos de negcios. Tal verificao de importncia
mpar, pois dela poder resultar numa nova avaliao de riscos, ou
reavaliao, como tambm ela poder apontar para a necessidade de se
adotar uma nova metodologia para a parametrizao dos riscos.
Observe-se que essa auditoria no a realizada sobre a avaliao de
riscos, mas sobre as medidas resultantes da avaliao de riscos. um tipo de
auditoria que deve ser realizada com um intervalo de tempo menor do que
outros tipos de auditoria, devido ao tipo de sua especificidade e criticidade
para a continuidade dos negcios da instalao porturia.
Como podemos verificar, a auditoria interna indispensvel para
qualquer instalao porturia, mesmo que no esteja submetida ao alcance do
ISPS Code, pois ela possui vrias aplicaes.

14

Os nveis de proteo aqui apresentados no so os estabelecidos pelo ISPS Code (nveis de

proteo 1, 2 e 3). So nveis que podem ser utilizados para medir um determinado estgio de
maturidade de controle.

51

Auditoria externa realizada pela instalao porturia

As auditorias externas realizadas pela instalao porturia tm como
pblico-alvo os clientes e fornecedores. No segmento porturio,
especificamente em relao aos sistemas de proteo, no comum
encontrarmos esse tipo de auditoria. Na nossa viso, um grande equvoco
no atentar para esse tipo de auditoria, uma vez que a qualidade do
fornecimento de material e mo-de-obra, em servios terceirizados, pode
comprometer todo o funcionamento de um sistema de proteo.
Com a tendncia do outsourcing (terceirizao) de servios de
segurana, limpeza, manuteno e TI (tecnologia da informao), faz-se
necessrio, cada vez mais, incluir as auditorias de segunda nesses contratos,
como forma de garantir um nvel de excelncia desses servios frente s
exigncias internacionais do novo padro de segurana porturia. E esse fato
a torna indispensvel.
O fato gerador desse tipo de auditoria deve estar nas clusulas dos
contratos, devendo ser ponto de quebra de contrato a no adoo de
medidas saneadoras das irregularidades encontradas nas auditorias. So
auditorias que podem ser realizadas pelo prprio pessoal da instalao
porturia ou por pessoal contratado com tal finalidade.
Um questionamento poder surgir nas auditorias de segunda, por
parte dos auditados, que o da invaso de estranhos (auditores) querendo
controlar a contratada. Isso no dever ser um empecilho, mas ser entendido
que, para prestar esses tipos de servios numa instalao porturia, no basta
ser uma empresa prestadora de servio, que tambm ter que se sujeitar a
critrios estabelecidos pela contratada, e ter conscincia de que normas
internacionais de proteo esto em vigor para a manuteno e continuidade
dos negcios da contratante.
Por no ser comum s instalaes porturias, esse tipo de auditoria
poder provocar alguns contratempos e mal-estar, mas, como ferramenta de
controle, apresentar-se- como excelente ferramenta de gesto para a
manuteno do sistema de proteo das instalaes porturias e,
consequentemente, aumentar a qualidade da segurana na empresa.
Contudo, para que no se interprete que houve invaso da privacidade
da empresa prestadora do servio, devem ser estabelecidos procedimentos
para essas auditorias e para os auditores.

52

Ateno especial deve ser dispensada s empresas prestadoras de

servio de segurana (empresas de vigilncia), pela parcela de participao no
sistema como um todo, uma vez que o recurso humano um dos pilares do
sistema de proteo. Entendemos que, nessas empresas, as auditorias
deveriam ser obrigatrias e com periodicidade no mnimo semestral, devendo
constituir uma clusula fundamental para a contratao e manuteno desses
servios.
O foco dessas auditorias deve estar sobre os critrios de contratao
do pessoal, incluindo o perfil desejado, os tipos de testes efetuados para a
seleo e o acesso documentao, o curso de formao e a programao da
educao continuada, para que se possa ter um profissional que atenda s
exigncias das normas de proteo da instalao porturia.
Auditoria externa realizada por terceiro
As auditorias externas realizadas por terceiros so conhecidas por
auditoria de terceira, e normalmente se destinam a uma certificao. No caso
especfico, a auditoria realizada pela CONPORTOS para verificar a
conformidade da instalao porturia com o ISPS Code. Tambm se enquadra
nesse tipo de auditoria toda aquela que for realizada por organismo de
certificao e por rgo fiscalizador.
As auditorias de certificao so muito importantes porque so uma
garantia de que aquela organizao est em conformidade com o ISPS Code,
alm de ser uma espcie de carta de crdito (certificao) para melhorar o seu
negcio com o exterior.
Para essas auditorias, a instalao porturia dever estar preparada e
com o seu sistema de proteo funcionando em conformidade com o ISPS
Code e com o seu plano de proteo. certo que nem todos os controles
previstos na norma so aplicveis a toda e qualquer instalao porturia. Para
que isso no venha a afetar a conformidade com a norma, faz necessrio que
a instalao elabore um documento que justifique a excluso dos controles
previstos na norma15.

15

Este documento poder ser tipo uma Declarao de Aplicabilidade (Statement of

Applicability), que uma exigncia para a certificao de conformidade dos sistemas de gesto
de segurana da informao com a norma ISO 27001. uma declarao documentada que

53

Geralmente surge a indagao do valor de uma certificao para a

organizao. Uma certificao exige um nvel de maturidade da organizao,
pois envolve investimento e comprometimento de todos os setores de uma
instalao porturia, atingindo, inclusive, clientes e fornecedores: os clientes,
ao se confortarem com a certeza de estar realizando negcios com uma
empresa de credenciais internacionais; e os fornecedores, ao saberem do
nvel elevado de exigncia para a prestao de servios e mo-de-obra.
Outro ponto da certificao que, para conquist-la, so necessrios
esforos para as avaliaes de riscos, projetos de segurana, estabelecimento
de processos, diretrizes e procedimentos em conformidade com as normas
regulamentadoras, o que demanda uma ateno especfica e muita dedicao
para a maturidade de todo esse processo. Observe-se que est sendo
objetivada uma certificao, que a conformidade com normas
internacionais, que transcende os processos e padres, para alcanar toda
uma cultura organizacional em prol de verdadeiras mudanas
comportamentais e operacionais.
esse parmetro de cultura que agregar valor organizao ao
atingir um nvel de excelncia do sistema como um todo, facilitando o
processo de certificao e compreendendo o significado e a importncia das
auditorias de certificao para a continuidade e vantagem competitiva dos
negcios corporativos. a valorao da corporao como um todo.

2.2 Objetivos de programas de auditoria e objetivos de auditoria

Como j foi visto, o programa de auditoria o conjunto de auditorias
planejadas para um determinado perodo, exigindo planejamento especfico e
possuindo objetivos prprios. Os objetivos de um programa e de uma
auditoria representam os resultados do que se desejam alcanar.
Esses objetivos devem estar focados nos negcios corporativos e
alinhados com as exigncias do ISPS Code. importante ressaltar que esse
cdigo foi adotado por meio de emendas Conveno para a Salvaguarda da
vida Humana no Mar (SOLAS), com o propsito de melhorar a proteo e a
descreve os objetivos de controle e os controles que so aplicveis ao sistema, como tambm a
justificativa daqueles controles excludos.

54

vida no mar, e alcana todas as embarcaes, companhias e instalaes

porturias que fazem parte do comrcio internacional.
Com base nessa percepo de importncia, os objetivos a serem
identificados para os programas e auditorias devem sempre ter uma relao
com essas condies, ou seja, manter o nvel de proteo de acordo com o
ISPS Code. Contudo, no devero ser definidos objetivos que focalizem apenas
essa premissa, mas tambm, tenham em vista os negcios corporativos e os
seus principais processos de negcios.
Essa peculiaridade vai alm da auditoria tradicional, avanando para
alinhar os objetivos atrelados aos principais riscos que afetam a instalao
porturia, e no apenas aos registros e transaes. Em outras palavras, esses
objetivos devem estar alinhados com estratgias, metas e com o processo de
gerenciamento de riscos, focando o tipo de negcio da instalao, seus
clientes e fornecedores.
Objetivos do programa de auditoria
Para definir os objetivos do programa de auditoria em instalaes
porturias, devemos identificar o motivo pelo qual essas auditorias devem ser
realizadas. O principal motivo manter as instalaes seguras em
conformidade com o ISPS Code e, consequentemente, obter a certificao
internacional. Esse o principal motivo e pode ser transformado num nico
objetivo para todo o programa, porque tem uma amplitude ilimitada: tudo o
que se relacionar com normas de proteo do ISPS Code. Desse modo, o
objetivo do programa ficaria assim definido:
Manter as instalaes porturias em conformidade com o ISPS Code
Observe-se que um objetivo muito amplo e que envolve todas as
auditorias necessrias para se garantir a manuteno da conformidade com as
normas.
Contudo, pode-se tambm discriminar mais de um objetivo, ou seja,
um objetivo geral e vrios objetivos especficos. Dessa forma, os objetivos
especficos poderiam ser assim definidos:
Contribuir para manter as instalaes seguras;
Contribuir para melhorar o sistema de proteo das instalaes
porturias;

55

 Identificar o nvel de proteo das instalaes porturias;

Avaliar as medidas de controle de riscos;
Verificar a eficcia dos controles de acesso;
Melhorar a qualidade dos servios terceirizados;
Garantir o nvel de capacitao da vigilncia porturia;
Certificar o cumprimento das clusulas contratuais com terceiros;
Identificar falhas nos processos de fornecimento e prestao de servio,
e
Obter a Declarao de Cumprimento do ISPS Code.
Como se pode observar, esses objetivos podem ser estabelecidos por
cada tipo de auditoria individual a ser realizada, que alcana as internas e
externas.
importante incluir no programa as possveis auditorias a serem
realizadas em carter extraordinrio, para que haja uma possibilidade da sua
execuo, e que haja, igualmente, aporte de recursos para tal, mesmo sem
precisar datas, uma vez que so extraordinrias, pois mudanas de cenrios e
ocorrncia de eventos que comprometam ou possam comprometer a
segurana da instalao so sempre fatos motivadores de auditorias
extraordinrias.
Objetivos da auditoria
Para a definio dos objetivos da auditoria, deve ser identificado o
motivo pelo qual determinada auditoria est sendo realizada, o tipo de
importncia do setor que ser auditado, a atividade a ser auditada, o negcio
para a instalao como um todo e o impacto de qualquer no conformidade
na continuidade desses negcios.
Observe-se que h uma diferenciao entre os objetivos do programa
e da auditoria. uma diferenciao tnue, e reside no fato de que o programa
mais abrangente e a auditoria mais especfica. Esta ltima adota como
referncia a primeira para a definio dos seus objetivos.
Como vimos no nosso exemplo, o objetivo do programa de auditoria
ficou definido como sendo: Manter as instalaes porturias em
conformidade com o ISPS Code.
Com base nesse objetivo, foram programadas as seguintes auditorias:
auditoria da avaliao de proteo, auditoria do plano de proteo, auditoria

56

do controle de acesso, auditoria dos procedimentos da vigilncia porturia,

auditoria para a anlise GAP, auditoria em fornecedores e auditoria para o
controle de riscos.
Para cada uma dessas auditorias programadas, devem ser
identificados um ou mais objetivos, que podem ser:
Auditoria da avaliao de proteo
Verificar a conformidade com os requisitos do ISPS Code;
Verificar os critrios de tratamento e aceitabilidade dos riscos;
Avaliar a criticidade dos riscos frente aos cenrios identificados e suas
respectivas medidas de proteo.
Na avaliao de proteo ou avaliao de riscos, o objetivo
identificar as principais aes para controlar e eliminar os riscos, pois essa
avaliao fundamenta-se nos principais riscos que afetam uma instalao
porturia. Nas auditorias sobre as avaliaes de proteo, o objetivo principal
verificar se os requisitos do ISPS Code foram atendidos e avaliar se os
critrios de criticidade foram estabelecidos de maneira uniforme em todo o
processo de anlise.
Auditoria do plano de proteo
Verificar a conformidade com os requisitos da CONPORTOS e do ISPS
Code;
Obter a aprovao do plano pela CONPORTOS e obter a Declarao de
Cumprimento;
Certificar o cumprimento das normas e procedimentos estabelecidos.
Nessas auditorias, o objetivo deve estar direcionado para a garantia de que os
controles foram implementados e esto em pleno funcionamento, e para
obter a Declarao de Cumprimento.
Auditoria do controle de acesso

Contribuir para melhorar o sistema de proteo das instalaes

porturias;

Verificar a eficcia dos controles de acesso;

Detectar vulnerabilidades nos sistemas de controle de acesso.

57

Nas auditorias do controle de acesso, devem ser formulados objetivos

que alcancem todos os tipos de controles estabelecidos. Essa auditoria
tambm poder objetivar detectar vulnerabilidades no sistema de controle de
acesso.
Auditoria das atividades da guarda porturia

Contribuir para manter as instalaes seguras;

Verificar o nvel de capacitao do pessoal da guarda;

Detectar falhas nas atividades da vigilncia porturia.

As auditoria nos procedimentos da vigilncia porturia objetivam
garantir o pleno funcionamento das atividades da vigilncia, como tambm
avaliar o nvel de capacitao do pessoal dessa rea em relao ao padro
exigido.
Auditoria para a anlise GAP
Avaliar o nvel de proteo das instalaes porturias;
Estabelecer o nvel de maturidade dos controles implementados.
O objetivo especfico dessa auditoria avaliar o nvel de proteo dos
controles existentes e do planejado, avaliando assim o nvel de proteo da
instalao porturia.
Auditoria em fornecedores

Melhorar a qualidade dos servios terceirizados;

Garantir o nvel de capacitao da vigilncia porturia;

Certificar o cumprimento das clusulas contratuais com terceiros;

Identificar falhas nos processos de fornecimento e prestao de servio.

uma auditoria que objetiva garantir e manter um padro elevado de
qualidade dos servios prestados.
Auditoria para controle de riscos

Garantir o controle eficaz sobre os principais riscos que afetam a

instalao porturia;

Avaliar as medidas de tratamento de riscos;

Identificar a necessidade de nova avaliao de proteo.

58

Essa auditoria objetiva avaliar as medidas de mitigao, deteco,

monitoramento e aceitao dos riscos. Ela difere da auditoria da avaliao de
proteo que feita sobre as normas e os procedimentos para o exame do
processo de avaliao dos riscos.

2.3 Auditoria em sistemas de proteo

Para que seja possvel auditar o sistema de proteo de uma
instalao porturia, entendemos que se faz necessria a compreenso, por
parte do auditor, do que um sistema de proteo. Para facilitar essa
compreenso, o presente captulo foi desenvolvido focando as principais
reas da segurana orgnica.
Contudo, a auditoria para a proteo de instalaes porturias requer,
alm desse prvio conhecimento, o conhecimento do que est estabelecido
pela norma internacional para a proteo de instalaes porturias, ou seja,
pelo ISPS Code, e esse o auditor dever conhecer bem.
Um sistema de proteo normalmente sustenta-se em 3 pilares:
normas e procedimentos, recursos humanos e tecnologia. So pilares
fundamentais para quaisquer sistemas de proteo. Para a comunidade da
segurana, essa questo tratada pela segurana orgnica, que compreende
o conjunto de medidas passivas que visam prevenir e obstruir aes adversas
de elementos ou grupos de qualquer natureza, dirigidos contra a instituio
(Dantas, 2003:88).
As normas e procedimentos compem todo um arcabouo que define,
delimita e direciona os sistemas de proteo. No caso especfico das
instalaes porturias, as principais normas e procedimentos so o ISPS Code,
as normas da CONPORTOS, as normas de controle de acesso, os planos de
proteo das instalaes porturias e os procedimentos da vigilncia
porturia. Fazem parte desse importante pilar os processos de negcios da
empresa.
A tecnologia engloba todo um aparato de meios e equipamentos que
so utilizados para auxiliar a proteo, e tem como objetivo no s tornar
mais gil o sistema ao conseguir uma amplitude de cobertura, em tempo real
ou em pequenas fraes de tempo, alcanando elevados ndices de preveno

59

e rapidez na resposta a um evento que venha comprometer o sistema ou

parte dele, como tambm ser empregada como meio de preveno, deteco
e controle.
Os recursos humanos so as pessoas que direta ou indiretamente
participam do sistema e que de alguma forma podem interferir nele.
Com base nessa concepo sobre um sistema de proteo, o auditor
dever executar a auditoria de forma que as suas verificaes estejam
contemplando esses pilares (recursos humanos, normas e procedimentos e
tecnologia), no s na constatao das conformidades, mas na constatao
da eficcia do sistema como um todo. Para esse processo, necessrio que
ele tenha noo do que seja a segurana orgnica e conhea os seus principais
domnios, que so: pessoal, documentao, material, comunicaes e
informtica, reas e instalaes.
Segurana do pessoal
A segurana do pessoal compreende um conjunto de medidas
destinadas a assegurar comportamentos, visando no s proteo das
pessoas como tambm proteo do conhecimento.
Nessa rea h trs pontos a considerar: a seleo de pessoal, o
desempenho da funo e o desligamento.
Seleo: importante verificar quais os critrios para a seleo e contratao
de funcionrios, com ateno especfica para os comprovantes e confirmao
de antecedentes criminais.
Desempenho da funo: verificar o processo de credenciamento e utilizao
de crachs, os padres de comportamento, procedimentos funcionais e o
cumprimento das medidas de segurana, com especial ateno para o saber
proceder, detalhando por quais medidas devem ser adotados.
Desligamento do funcionrio: verificar os critrios para o desligamento, se a
comunicao do desligamento aos outros setores eficiente (efetuar testes,
se possvel), a forma de recolhimento de toda a documentao que possa
identific-lo como sendo da empresa, e de cancelamento do acesso aos
sistemas operacionais.

60

Segurana da documentao
A segurana da documentao necessria, porque nela que
podero estar registrados dados importantes, tais como operaes de
crdito, grandes contratos, valor da folha de pagamento, endereos dos
scios e diretores, planos de segurana, dentre tantas outras valiosas
informaes.
importante verificar os critrios de controle na elaborao,
identificao, autenticidade, manuseio, arquivo e destruio de documentos,
com especial ateno para o tratamento do lixo.
Segurana do material
A segurana do material segue a mesma filosofia da segurana da
documentao. importante verificar os critrios de recebimento e exame do
material, checando as especificaes do material com a documentao que o
acompanhar, confrontando-a com a documentao do contrato ou pedido,
como tambm o inventrio do material.
Segurana das comunicaes e da informtica
uma das reas da segurana que mais cresce nas corporaes, e que
demanda uma ateno especial, em face da importncia e crescimento
permanente da tecnologia para os negcios corporativos. A segurana da
informao a rea responsvel pela segurana da documentao, das
comunicaes e da informtica. Atualmente, essas subreas da segurana
orgnica esto contempladas no contexto da segurana da informao.
A segurana da informao a proteo da informao de vrios tipos
de ameaas para garantir a continuidade do negcio, minimizar o risco ao
negcio, maximizar o retorno sobre os investimentos e as oportunidades de
negcio. Ela obtida a partir da implementao de um conjunto de controles
adequados, incluindo polticas, processos, procedimentos, estruturas
organizacionais e funes de software e hardware (NBR ISO/IEC 27002:2005).
Para Dantas (2003: 27), a proteo das informaes compreende um conjunto
de procedimentos que devem ser adotados com o objetivo de eliminar a fuga
das informaes e dificultar a eficcia das atividades de coleta de
informaes, salvaguard-las e proteg-las contra quaisquer eventualidades,

61

garantindo a confidencialidade16, a integridade17 e a disponibilidade18 das

informaes.
Por ser uma rea muito especfica, o padro ideal de proteo para as
informaes o padro ISO, que um padro internacional e com certificao
especfica. Esse padro requer as normas ISO 27002 e 27001.
Contudo, na inexistncia do padro ISO de proteo das informaes,
as verificaes devem estar focadas nos controles existentes que garantam as
qualidades da informao (confidencialidade, integridade e disponibilidade), e
na manuteno dos critrios estabelecidos pelo ISPS Code.
Nesse domnio, indispensvel uma poltica de segurana da
informao.
Segurana das reas e instalaes
A segurana das reas e instalaes composta de medidas que visam
proteo da rea da empresa e de suas instalaes.
A verificao deve levar em considerao as medidas adotadas para
garantir a proteo do permetro externo, como: barreiras, cercas, muros,
demarcao da rea e placas de sinalizao. O ponto importante a ser
verificado relaciona-se com o controle de acesso, suas normas e
procedimentos, bem como o equipamento tecnolgico e os sistemas de
acesso como um todo.
Observe-se que a compreenso do que seja a segurana orgnica
importante para que o auditor possa ir alm da verificao do domnio da
norma, pois poder deparar-se com uma situao de conformidade com a
norma, mas que configure uma vulnerabilidade ao sistema de controle. Esse
conhecimento contribui para a verificao da eficincia e eficcia do sistema
como um todo.

16

Confidencialidade: propriedade de que a informao no esteja disponvel ou revelada a

indivduos, entidades ou processos no autorizados (NBR ISO 27002:2005). a garantia de que
a informao acessvel somente por pessoas autorizadas a terem acesso.
17
Integridade: propriedade de salvaguarda da exatido e completeza de ativos (NBR ISO
27002:2005). a garantia da informao mantida na sua condio original.
18
Disponibilidade: propriedade de estar acessvel e utilizvel sob demanda por uma entidade
autorizada (NBR ISO 27002:2005). a garantia de que os usurios autorizados obtenham a
informao e os ativos correspondentes sempre que necessrio.

62

As auditorias em instalaes porturias so muito focadas no padro

do ISPS Code. Nesse cdigo, encontrada uma srie de requisitos para
compor o sistema de proteo. Os principais so: a avaliao de proteo e o
plano de segurana. No obstante, identificam-se outros requisitos
importantes do sistema de proteo de instalaes porturias, que so as
normas de controle de acesso e os procedimentos da vigilncia porturia.
Esses quatro pontos so de exame obrigatrio numa instalao porturia.
Dessa forma, esses pontos sero contemplados em captulos
especficos a seguir. Acrescentaremos, ainda, as auditorias realizadas em
fornecedores, as auditorias para a anlise GAP e aquelas realizadas para o
controle de riscos, por entendermos que so auditorias indispensveis no
alinhamento dessa ferramenta com as demandas e evoluo do mercado,
alm de constiturem um diferencial na busca da excelncia da proteo e na
criao de vantagem competitiva e continuidade dos negcios.

2.4 Auditoria da avaliao de proteo de instalaes porturias

A avaliao de proteo o processo que identifica fraquezas na
estrutura fsica, sistemas de proteo pessoal, processos, ou em outras reas
que possam conduzir a violao de segurana (proteo).
Segundo a Guarda Costeira Americana19, a avaliao de proteo das
instalaes porturias um processo analtico e sistemtico para determinar
medidas de proteo, para reduzir as vulnerabilidades e eliminar ou reduzir as
consequncias de um risco concretizado. Ela identifica fraquezas e prope
medidas e opes para eliminar ou mitigar essas fragilidades.
O objetivo principal de uma avaliao de proteo poder eliminar os
riscos que podem ser eliminados e minimizar os impactos dos riscos que no
podem ser eliminados. Ao final resulta na elaborao de um relatrio no qual
constam medidas a serem adotadas para a melhoria da proteo das
instalaes porturias.

19

Navigation and Vessel Inspection Circular no 11-02 (NVIC 11-02). Recommended security
guidelines for facilities.

63

Na realidade, a avaliao de proteo uma avaliao de riscos. O

risco a combinao da probabilidade20 de um evento21 e suas
consequncias22 (ISO/IEC Guide 73:2002). A avaliao de riscos o processo
sistemtico de identificao, estudo e graduao de todos os riscos relevantes
para cada processo de negcio (BCPG, 1998).
A avaliao de riscos um processo geral de identificao, anlise e
avaliao de riscos (AS/NZS 4360:2004), ou seja, um processo no qual
realizado um levantamento dos riscos que afetam a organizao, para serem
analisados com relao aos controles existentes e seus possveis impactos e
probabilidades, estabelecendo um ranking de riscos para serem comparados
com os critrios estabelecidos, determinando sua criticidade para as aes de
tratamento.
Ao auditar a avaliao de proteo, importante que o auditor
conhea o que uma avaliao de riscos e qual o seu propsito. Existem
vrios mtodos para se elaborar uma avaliao de proteo, e faz-se
necessrio que o auditor venha a conhecer o mtodo que foi utilizado para a
elaborao da avaliao, para que, ao realizar as suas verificaes, possa
realmente examinar com eficcia esse importante processo para a segurana
da instalao porturia.
Independentemente do mtodo a ser utilizado, esse processo
emprega o conceito de risco com base na probabilidade da ocorrncia e no
impacto que poder causar caso venha a ser concretizado. Da a abordagem
mais moderna que usa a expresso avaliao de riscos em vez de avaliao de
proteo.
No obstante os diversos mtodos existentes para a anlise de riscos
ou anlise de proteo das instalaes porturias, alguns elementos so
indispensveis para uma auditoria de avaliao de proteo. So:
20

A probabilidade associada a um evento calculada para determinado perodo de tempo, e

definida como um nmero real na escala de 0 a 1, associada a um evento aleatrio que pode
estar relacionado a uma frequncia de ocorrncia relativa de longo prazo ou a um grau de
confiana de que um evento ir ocorrer. Para um alto grau de confiana, a probabilidade
prxima de 1.
21
Por evento deve ser entendida a ocorrncia de um conjunto particular de circunstncias,
podendo ser uma nica ocorrncia ou uma srie delas. A probabilidade associada a um evento
pode ser estimada por um dado perodo de tempo.
22
Por consequncia deve ser entendido o resultado de um evento.

64

1- A verificao da identificao dos principais ativos e processos da

organizao que se deseja proteger, e o exame da priorizao desses
ativos/processos por tipo de criticidade para os negcios;
2- A verificao da identificao das principais ameaas e o exame da sua
avaliao (possibilidade de sua concretizao e o seu impacto);
3- A verificao da identificao das principais vulnerabilidades dos ativos
em relao possibilidade de ocorrncias, considerando-se os critrios
definidos pela instalao porturia (disponibilidade, acessibilidade, dureza,
rigidez e segurana orgnica do alvo);
4- A verificao da avaliao da consequncia e da vulnerabilidade,
categorizada por cenrio ou alvo;
5- A verificao das aes para eliminar, detectar, transferir e aceitar os
riscos, e o exame dos critrios para essa deciso.
Segundo o que est disposto no ISPS Code, a avaliao da proteo
das instalaes porturias parte integral e essencial do processo de
elaborao e atualizao do plano de proteo das instalaes porturias, e
dever ser executada por pessoal com conhecimentos adequados,
autorizados pelo governo contratante em cujo territrio a instalao porturia
esteja localizada. Dever, tambm, ser revisada e atualizada periodicamente,
de acordo com mudanas no cenrio das ameaas ou quaisquer mudanas
que possam vir a comprometer a segurana da instalao porturia. E devem
incluir, no mnimo, os seguintes elementos:
Identificao e avaliao dos ativos e infraestrutura que so importantes
proteger.
Identificao de ameaa possvel para ativos e infraestrutura, bem como
a possibilidade de sua ocorrncia, para que se possam estabelecer e priorizar
medidas de proteo.
Identificao de fraquezas, inclusive de fatores humanos na
infraestrutura, poltica e procedimentos.
Identificao, seleo e priorizao de contramedidas e mudanas de
procedimentos e seus nveis de eficcia na reduo da vulnerabilidade.
Chamamos a ateno para alguns aspectos com relao ao exame da
avaliao de proteo (avaliao de riscos). Neste tipo de exame, o auditor
dever verificar se os requisitos do ISPS Code foram atendidos, ou seja, vai

65

examinar cada item da avaliao de riscos e comparar com cada dispositivo do

ISPS Code que trata do domnio Avaliao de proteo das instalaes
porturias, para constatar se todos os itens foram contemplados.
Para atestar esta conformidade no se faz necessrio verificar a
eficcia das medidas de controle sobre os riscos, porque o que se est
verificando se o plano foi elaborado com base em uma avaliao de
proteo (risco), e se esta avaliao foi feita conforme estabelecido no ISPS
Code. um exame estritamente com base nos itens da norma, para constatar
se a avaliao de riscos est alinhada com o cdigo. a fase da auditoria
conhecida como adequao ou inteno. Ressaltamos que esta limitao fica
para as auditorias de certificao, ou preparatrias para tal finalidade.
Entretanto, a instalao porturia poder questionar todo o processo
de avaliao de riscos, inclusive sobre a eficcia das medidas propostas e
sobre alguns aspectos preliminares ao estudo dos riscos, como a metodologia
de anlise e os critrios de parametrizao de sua criticidade. Nestes casos,
esses detalhes devero ser examinados quando do recebimento do processo
de avaliao de riscos, que geralmente feito por empresa terceirizada.
Considerando que o ISPS Code o principal documento-base para as
auditorias em instalaes porturias, utilizaremos como referncia essas reas
de domnio para, com base no cdigo, apresentarmos abaixo os principais
controles a serem verificados com relao a cada um desses domnios.
Identificao e avaliao dos ativos e infraestrutura que so importantes
proteger
Verificar se na identificao e avaliao dos ativos e infraestrutura foi
estabelecido um nvel de importncia para a instalao porturia.
Verificar se foram consideradas a perda potencial de vidas, a
importncia econmica do porto e o seu valor simblico, e a presena de
instalaes governamentais.
Verificar se foi considerado o funcionamento da instalao porturia
sem esses ativos e a capacidade de recuperao do incidente de proteo.
Verificar se foi considerada a possibilidade de outras estruturas
causarem danos dentro das instalaes ou serem utilizadas para causar danos
s instalaes, como tambm utilizada para observao ilcita ou para desviar
a ateno.

66

Verificar se foram considerados na identificao e avaliao de ativos

os seguintes itens:
1reas de acesso, entradas, aproximaes, ancoragem, manobras e
atracao;
2Instalaes de cargas, terminais, reas de armazenagem e
equipamentos para manuseio de cargas;
3Sistemas de distribuio eltrica, sistemas de rdio e telecomunicaes
e sistemas e redes de informtica;
4Sistemas de gesto de trfego de navios no porto e sistemas de auxlio
navegao;
5Instalao de energia, tubulao de transferncia de cargas e
abastecimento de gua;
6Pontes, ferrovias, estradas;
7Embarcaes de servios porturios;
8Sistemas e equipamentos de proteo e vigilncia, e
9guas adjacentes s instalaes porturias.
Identificao de ameaa possvel para ativos e infraestrutura, e a
possibilidade de sua ocorrncia, de modo a estabelecer e priorizar medidas
de proteo
Verificar qual o critrio utilizado para identificar determinado evento
como uma ameaa.
Verificar se foram considerados os mtodos para a execuo de uma
ameaa e a possibilidade de sua ocorrncia.
Verificar se foram considerados aspectos peculiares da instalao que
possam ser alvos de um incidente de proteo ou ataque, e suas possveis
consequncias, incluindo perda de vidas, danos a propriedades, danos
econmicos, interrupo do funcionamento da instalao, etc.
Verificar se foram consideradas informaes oficiais sobre a
capacidade e intenes de pessoas ou organizaes passveis de planejar um
ataque ou provocar um incidente de proteo instalao porturia, como
tambm o tipo possvel de ataque ou incidente de proteo.
Verificar se foram includos os seguintes tipos de incidentes de
proteo:
1Danos s instalaes porturias e aos navios ou destruio dos mesmos;

67

2Sequestro ou captura do navio ou de pessoas a bordo;

3Adulterao de cargas, sistemas ou equipamentos essenciais do navio
ou de provises do navio;
4Acesso ou uso no autorizado, incluindo a presena de clandestinos;
5Trfico de armas ou equipamentos, incluindo armas de destruio em
massa;
6Uso do navio para transportar pessoas que pretendem causar um
incidente de proteo e seus equipamentos;
7Uso do navio em si como uma arma ou como um meio de causar danos
ou destruio;
8Bloqueio das entradas dos portos, comportas, aproximaes, etc., e
9Ataque nuclear, biolgico e qumico.
Identificao de fraquezas, inclusive de fatores humanos na infraestrutura,
poltica e procedimentos.
Verificar qual o mtodo utilizado para identificar vulnerabilidades nas
instalaes porturias com relao a incidentes de proteo.
Verificar se foram considerados os incidentes de proteo (ameaas)
para a identificao das vulnerabilidades desses ativos.
Verificar se foram considerados os seguintes aspectos na identificao
de vulnerabilidades:
1Acesso s instalaes porturias por gua e por terra e a navios
atracados nas instalaes;
2Integridade estrutural dos ancoradouros, instalaes e estruturas
relacionadas;
3Medidas e procedimentos de proteo existentes;
4Medidas para proteger equipamentos de rdio e de telecomunicaes,
servios porturios e empresas de utilidade pblica;
5reas adjacentes que possam ser exploradas durante um ataque ou
para a sua realizao;
6Acordos existentes com companhias privadas de proteo que
forneam servios de proteo em terra/na gua;
7Quaisquer polticas conflitantes entre as medidas e procedimentos de
segurana e proteo;

68

8Quaisquer conflitos entre as instalaes porturias e a atribuio de

deveres relativos proteo;
9Quaisquer limitaes no tocante ao pessoal e implementao;
10- Quaisquer falhas identificadas durante os treinamentos e simulaes,
bem como falhas identificadas durante as operaes rotineiras, aps a
ocorrncia de incidentes ou alertas, relatrios de preocupaes relativas
proteo, exerccio de medidas de controle, auditorias, etc.
Identificao, seleo e priorizao de contramedidas e mudanas de
procedimentos e seus nveis de eficcia na reduo da vulnerabilidade
Verificar se a identificao e priorizao de contramedidas tiveram o
objetivo de assegurar o emprego de medidas eficazes para reduzir a
vulnerabilidade de uma instalao porturia ou da interface navio/porto a
possveis ataques.
Verificar se as medidas de reduo de vulnerabilidades tomaram como
base as vistorias, inspees e auditorias relacionadas proteo, o histrico
de incidentes de proteo, as operaes da instalao e as consultas a seus
proprietrios e operadores.

2.5 Auditoria do Plano de Segurana Pblica Porturia (PSPP)

De todas as auditorias a serem feitas nas instalaes porturias,
aquela realizada sobre os planos de segurana requer ateno especial, uma
vez que o plano de segurana pblica porturia o principal alvo para a
concesso da certificao internacional.
A auditoria de certificao de competncia da CONPORTOS,
segundo o disposto na Resoluo no 37, de 21/06/2005. Dessa forma, essas
auditorias assumem uma importncia mpar para a manuteno da
certificao. Entretanto, as instalaes porturias devem realizar as suas
auditorias internas, que so diferentes das auditorias de certificao da
CONPORTOS, sob o risco de j estarem em no conformidade por no terem
realizado as suas auditorias internas, previstas no plano de segurana.
Trs aspectos devem ser considerados para essas auditorias: o
primeiro com relao a concepo, forma, contedo e elaborao dos planos

69

de segurana, que devem estar atendendo aos requisitos e diretrizes do ISPS

Code, e da Resoluo no 12 da CONPORTOS; o segundo, com relao
funcionalidade do plano, ou seja, o exame da conformidade das medidas
implementadas; e o terceiro, com relao a eficcia dos controles do sistema.
Os requisitos e as diretrizes esto nas partes A e B do cdigo que, de
modo geral, apresentam domnios e controles a serem observados na
elaborao desses planos. J a resoluo apresenta em seus anexos o termo
de referncia para a elaborao do plano de segurana pblica porturia,
assim como o roteiro para a elaborao e anlise desses planos.
Essa auditoria deve ser realizada em trs etapas: na primeira, haver o
exame do plano em si, ou seja, do documento denominado plano de
segurana; a segunda consta do exame do que ele estabelece, ou seja, a
verificao com base no plano; e a terceira, o exame com base nos objetivos
dos controles.
Os requisitos e as diretrizes sero a base da primeira etapa, em que o
auditor atestar que o plano foi elaborado atendendo s diretrizes e aos
requisitos para a concepo, forma, metodologia, contedo e elaborao. o
exame do plano propriamente dito.
J o plano a base da segunda e terceira etapas, em que o auditor
atestar que as medidas estabelecidas no plano forma implementadas e se
esto sendo executadas conforme implementadas. o exame com base no
plano.
E os controles (constantes do plano) sero a base para a aferio da
eficcia, ou seja, o exame para verificar se os controles atendem aos
objetivos para os quais foram criados.
Diante dessas peculiaridades e para uma melhor compreenso da
forma de auditar o plano, dividiremos este captulo em duas partes: uma
voltada para o exame dos requisitos da CONPORTOS e do ISPS Code para a sua
elaborao, e a outra para o exame da funcionalidade do sistema de controle.
Ambas as etapas so importantes no s para a preparao da instalao
porturia para a aprovao dos seus planos, como tambm para a concesso
e manuteno da certificao, objeto-alvo das auditorias externas de
certificao.

70

2.5.1 Exame dos requisitos do ISPS Code

O ISPS Code estabelece requisitos obrigatrios para a elaborao de
um plano de segurana destinado proteo de instalaes porturias, e tal
parte do cdigo dever ser utilizada pelo auditor como referncia para o
exame do plano, ou seja, da sua concepo, forma, elaborao e contedo.
Dessa forma, apresentamos a seguir um roteiro para a verificao do
auditor, tendo como base os principais requisitos da parte A e B do cdigo.
Concepo, forma e elaborao
O plano de segurana deve ser concebido baseando-se numa avaliao
de proteo fundamentada nos principais riscos que afetam uma instalao
porturia, e de forma geral objetiva estabelecer medidas de preveno e
respostas a eventos danosos instalao, de forma a manter a continuidade
das atividades porturias. Deve ser desenvolvido por uma metodologia
conhecida, elaborado por pessoal especfico e autorizado, e aprovado pelo
governo contratante.
Com base nessa premissa, o auditor iniciar o seu exame para:
a) Verificar se o plano de proteo da instalao porturia foi elaborado com
fundamento em uma avaliao de proteo, por uma organizao de
proteo reconhecida, e se foi aprovado pelo governo contratante. Deve ser
includo nesse item de verificao a data do plano e a data da ltima reviso.
b) Verificar se o plano est disponvel apenas para pessoas autorizadas, e se
est protegido contra acesso, divulgao, emenda no autorizada e
destruio.
c) Verificar se o plano envolve mais de uma instalao porturia e se a
avaliao de proteo foi especfica para cada uma das instalaes cobertas
pelo plano. Nesse caso especfico, o auditor deve quantificar e identificar as
instalaes que so cobertas pelo plano. Contudo, deve dispensar ateno
especial para checar se as avaliaes de riscos foram individuais, pois esse
um dos requisitos do ISPS Code.

71

Contedo
Aps essas verificaes iniciais, o auditor passar ao exame do
contedo do plano. Para facilitar essa verificao, apresentamos um roteiro
dos principais requisitos a serem auditados.
O auditor deve verificar se do contedo do plano constam, no mnimo:
1.
O papel e a estrutura da organizao de proteo das instalaes
porturias.
2.
A identificao do funcionrio de proteo das instalaes porturias,
incluindo informaes para contato durante 24 horas.
3.
Os vnculos da organizao de proteo das instalaes porturias com
outras autoridades locais ou nacionais com responsabilidades relativas
proteo.
4.
Os sistemas de comunicao disponveis para permitir a comunicao
contnua e eficaz entre o pessoal das instalaes porturias com funes
relativas proteo e os navios atracados no porto, e com autoridades locais
ou nacionais com responsabilidades relativas proteo.
5.
Os deveres, responsabilidades e requisitos de treinamento de todo o
pessoal das instalaes porturias com funes relativas proteo, bem
como os parmetros de desempenho necessrios para avaliar sua eficcia
individual, e deveres de qualquer outro pessoal das instalaes porturias
relativos a aspectos de proteo.
Isso quer dizer que no s devem constar as obrigaes do pessoal especfico
para a proteo, mas as responsabilidades de todos da instalao,
permanentes ou temporrios, com relao proteo da instalao porturia.
6.
As medidas de controle de acesso que cobrem todos os meios de acesso
s instalaes porturias identificados no plano, com restries por rea e
nvel de proteo.
Essas medidas devem incluir: aquelas para prevenir que armas,
substncias perigosas e dispositivos destinados ao uso contra pessoas, navios
ou portos sejam introduzidos em uma instalao porturia ou a bordo de um
navio, ou cujo transporte no seja autorizado; os procedimentos para atender
a quaisquer instrues de proteo que os governos contratantes, em cujo
territrio a instalao porturia esteja localizada, possam dar para o nvel 3 de
proteo; as disposies para garantir a atualizao dos sistemas de

72

identificao e medidas disciplinares para os abusos desses procedimentos; e

os locais nos quais pessoas, objetos pessoais e veculos devam ser revistados,
assim como a forma de se fazer a revista.
7.
Medidas para prevenir o acesso no autorizado a instalaes porturias,
a navios atracados nessas instalaes e a reas de acesso restrito das
instalaes porturias.
Essas medidas devem compreender: as medidas desenvolvidas para
assegurar a proteo efetiva da carga e dos equipamentos de manuseio de
carga na instalao porturia; as medidas de proteo para o manuseio de
cargas, entrega das provises aos navios, manuseio de bagagens
desacompanhadas, e monitoramento da proteo da instalao; os
procedimentos para manter e atualizar registros de mercadorias perigosas e
substncias nocivas e sua localizao nas instalaes porturias.
8.
Os procedimentos ou proteo necessrios para manter
permanentemente as comunicaes contnuas.
9.
Medidas para assegurar a proteo das informaes contidas no plano,
bem como os procedimentos e prticas para proteger informaes sensveis
de proteo mantidas em papel ou em formato eletrnico.
10.
Procedimentos para responder a ameaas de proteo e a violaes da
proteo, incluindo disposies relativas manuteno de operaes crticas
da instalao porturia ou da interface navio/porto.
Esses procedimentos devem incluir: os meios para alertar e obter os
servios de patrulhas e de equipes de especialistas em busca, incluindo busca
de bombas e buscas debaixo da gua; os procedimentos para responder caso
o sistema de alarme de proteo de um navio localizado na instalao
porturia tenha sido ativado; os procedimentos para evacuao, no caso de
ameaas de proteo ou de violaes da proteo, e os procedimentos para
reportar incidentes de proteo.
11.
Procedimentos destinados interface com atividades de proteo do
navio e para assistir os oficiais de proteo do navio, facilitar a concesso de
licena para o pessoal de bordo ou facilitar mudanas de pessoal, e acesso ao
navio.
12. Procedimentos para a reviso peridica e atualizao do plano.

73

Esses procedimentos devem incluir: os procedimentos para avaliar a

eficcia contnua das medidas, procedimentos e equipamentos de proteo,
incluindo a identificao e resoluo de falhas ou mau funcionamento de
equipamentos; os procedimentos para permitir a submisso e avaliao de
relatrios relativos a possveis violaes de proteo ou preocupaes com a
proteo; os procedimentos para auditar o plano de proteo das instalaes
porturias.
Alm dessas medidas e procedimentos, o ISPS Code estabelece que o
plano deve especificar medidas para cada nvel de proteo (1,2 e 3), de forma
a cobrir o acesso s instalaes porturias e o acesso restrito dentro dessas
instalaes, o manuseio de cargas, as entregas das provises do navio, o
manuseio de bagagens desacompanhadas e o monitoramento da proteo
das instalaes porturias.
Um detalhe especial acompanha essa auditoria: o fato de o auditor,
nessa fase, no se preocupar se a medida proposta atende ou no sua
finalidade de proteo, pois ele estar apenas verificando se o contedo do
plano foi elaborado com base nos requisitos do ISPS Code. A verificao da
funcionalidade dessas medidas outra etapa da auditoria, na qual ele
examinar se as medidas constantes do plano foram implementadas
conforme estabelecidas e se so eficazes. Ratificamos, portanto, que nessa
fase o objetivo da auditoria o de constatar a conformidade do contedo do
plano com os requisitos do ISPS Code e da CONPORTOS.
2.5.2 Exame dos requisitos da CONPORTOS
A Resoluo 12/2003 da CONPORTOS23, em seu anexo I, estabelece as
diretrizes para a elaborao do plano de segurana pblica porturia,
resoluo essa que o auditor adotar como referncia para verificar se o plano
de segurana foi elaborado de conformidade com essa resoluo.
Dessa forma, apresentamos a seguir um roteiro para a verificao do auditor
com base em cada item da resoluo.
23

Essa resoluo aprovou o termo de referncia para a elaborao dos planos de segurana
pblica porturia dos portos e terminais martimos brasileiros, aprovou o roteiro para a
elaborao e anlise dos planos de segurana pblica porturia, e aprovou a orientao para a
elaborao das normas de controle de acesso e circulao de pessoas e veculos.

74

Objetivo
Verificar se entre os objetivos do plano est o de: prevenir e reprimir
atos ilcitos nos portos, terminais e vias navegveis.
Identificao
Da Instalao Porturia
Verificar se a instalao porturia est devidamente identificada pelo
nome e razo social da instalao; endereo completo; nmero dos registros
legais; telefone; fax; endereo eletrnico e pgina na Internet (caso esteja
disponvel); CNPJ; telefone e fax dos representantes legais e pessoas para
contato.
Da Organizao de Segurana e dos Tcnicos responsveis pela elaborao
do PSPP.
Verificar se a identificao da organizao de segurana e de seus
tcnicos responsveis pela elaborao do plano foi feita pelo nome e ou razo
social; endereo completo; nmero dos registros legais; telefone; fax;
endereo eletrnico; CNPJ/CPF telefone e fax dos representantes legais e
pessoas para contato.
Metodologia
Verificar se a metodologia utilizada em cada etapa do trabalho est
indicada no plano.
Verificar se os procedimentos e as aes propostas no plano esto
justificadas e esquematizadas, de acordo com as categorias definidas na
avaliao de proteo e com os nveis de riscos e vulnerabilidade de cada
cenrio, ou seja, se esses procedimentos e medidas estejam fundamentados
na avaliao de riscos.
Verificar se a probabilidade de ocorrncia dessas ameaas, e outras
que porventura estejam relacionadas nos cenrios das avaliaes de riscos,
foram analisadas e avaliadas pelas estimativas e consequncias.
Verificar se todas as reas e instalaes foram codificadas de acordo
com a categoria de risco.
Verificar se consta a apreciao e a identificao dos nveis de riscos
de segurana (baixo, mdio e alto), de conformidade com o estudo de
avaliao de riscos.

75

Verificar o cronograma de implantao do plano e a data prevista para

a auditoria da certificao inicial.
Verificar se foram fornecidas informaes sobre dados tcnicos,
operacionais e administrativos, dos portos, terminais e vias navegveis, para a
elaborao do plano.
Caracterizao da instalao porturia
Verificar se a instalao porturia est caracterizada pela descrio
completa das caractersticas fsicas, operacionais e de infraestrutura das
instalaes porturias, as reas terrestres e aquavirias, incluindo suas
cercanias, munidas das respectivas plantas, mapas ou croquis, em escala
apropriada.
rgos envolvidos e competncias
Verificar se constam as descries das competncias dos rgos
pblicos, de acordo com o que est disposto no Plano Nacional de Segurana
Pblica Porturia.24
Nesse item, o auditor dever observar as competncias desses rgos
no plano nacional, e confront-las com o plano especfico em exame.
Fatores a serem considerados
A Resoluo CONPORTOS 12/2003 estabelece que:
Na elaborao do Plano de Segurana Pblica Porturia PSPP, o setor porturio deve ser considerado como um
conjunto harmnico de instalaes fsicas e de sistemas
gerenciais e de logstica, composto pela oferta de toda
uma infraestrutura porturia e pela aplicao dos recursos
operacionais e humanos, agregados Inteligncia e
disponibilidade de instalaes e equipamentos porturios
para a realizao e desenvolvimento das atividades de
transporte.

24

Esse plano foi aprovado pela Resoluo 02/2002 da CONPORTOS, publicada no Dirio Oficial
da Unio, n 241, de 13 de dezembro de 2002.

76

Nesse sentido, verifica-se a necessidade de se manter um sistema de

proteo de instalaes porturias que funcione em sintonia com o setor
porturio, e que a ocorrncia de incidentes de proteo poder vir a quebrar a
harmonia de todo o sistema porturio, podendo trazer consequncias de
difcil reparao em tempo hbil para a normalidade das atividades porturias.
Tudo isso refora ainda mais a necessidade da realizao de auditorias
minuciosas (realizadas com critrios e por pessoal especializado), que no se
limitem apenas a verificar se tais itens observados atendem, ou no, s
conformidades estabelecidas nas normas, mas ensejam uma verificao mais
completa, que envolva todo o sistema de proteo.
Diante disso o auditor dever:25
Verificar as determinaes dos organismos nacionais e internacionais
quanto a pressupostas ameaas segurana e danos s pessoas, s
embarcaes e infraestrutura dos portos ou terminais, observando as
peculiaridades de cada porto ou terminal, levando em considerao a situao
geogrfica, o tipo de instalao e o produto com os quais se trabalha.
Verificar se, na elaborao das medidas mitigadoras, foram
considerados os aspectos apontados nas avaliaes de riscos, aprovadas pela
CONPORTOS.
Dentre as ameaas que devem ser levadas em considerao para a
elaborao do plano de proteo das instalaes porturias, o ISPS Code
relaciona nove ameaas que devem ser includas. O auditor dever verificar se
elas foram consideradas na elaborao do plano. So:
1. Danos s instalaes porturias e aos navios ou destruio dos mesmos,
por exemplo, por meio de explosivos, incndio criminoso, sabotagem ou
vandalismo;
2. Sequestro ou captura do navio ou de pessoas a bordo;
3. Adulterao de cargas, sistemas ou equipamentos essenciais do navio ou
de provises do navio;
4. Acesso ou uso no autorizado, incluindo a presena de clandestinos;
5. Trfico de armas ou equipamentos, incluindo armas de destruio em
massa;

25

Conforme est previsto na Resoluo 12/2003.

77

6. Uso do navio no transporte de pessoas que pretendem causar um

incidente de proteo e seus equipamentos;
7. Uso do navio em si como uma arma ou como um meio de causar danos
ou destruio;
8. Bloqueio de entradas dos portos, comportas, aproximaes, etc.
9. Ataque nuclear, biolgico e qumico.
Verificar se as relaes do porto e/ou do terminal com as autoridades
locais ou nacionais com responsabilidades relativas segurana pblica foram
consideradas.
Essas relaes representam a forma integrada como agem diversas
instituies na preveno e resposta s possveis ameaas e a incidentes de
segurana na rea porturia.
Verificar se o plano de desenvolvimento e zoneamento do
porto/terminal, bem como suas alteraes em estudo foram consideradas
para a elaborao do plano de segurana.
Essa verificao pode detectar possveis reas de conflito com
movimentos sociais, ambientalistas e trabalhadores porturios, as quais
demandem medidas de conteno e emergncia para o porto/terminal,
devendo elas ser relatadas nos papis de trabalho do auditor.
Verificar se na elaborao do plano foram consideradas as medidas de
segurana existentes nas instalaes porturias, as atribuies e relaes
existentes entre as autoridades intervenientes, bem como os sistemas
existentes de comunicao, as flexibilidade para a adequao s normas do
poder pblico, em razo dos ajustes que se faro necessrios em face dos
Planos de Segurana nos Navios, dentre outras, e as leis, normas legais e
infralegais.
reas de atuao
As reas de atuao previstas na Resoluo 12/2003 so 3: terrestres,
aquavirias e reas de interesse, que so aquelas fora do porto organizado ou
terminal, que sejam destinadas a embarcaes ou veculos que eventualmente
atendam s demandas dos navios ou apiem as tarefas porturias.
A citada Resoluo diz textualmente:

78

Terrestres: compreendendo as vias de acessos rodovirios,

ferrovirios e cercanias; locais de pouso e decolagem;
pontos de acesso de pessoas, de veculos e de cargas;
infraestrutura, edificaes, terrenos, silos e armazns;
docas, cais, piers, pontes de atracao e de acostagem;
vias de circulao interna; reas de embarque e
desembarque de passageiros, de abastecimento e de
suprimento; bem como todo o aparelhamento de que o
porto ou terminal dispe para atender as necessidades do
respectivo trfego e a reparao e conservao das
prprias instalaes que devem ser mantidas pela
Administrao do porto ou terminal.
Aquavirias: compreendendo as reas de fundeio,
atracao, quarentena; guias-correntes, quebra-mares,
eclusas, canais de acesso e bacias de evoluo,
infraestrutura e cercanias, conforme indicados em carta
nutica ou divulgados pela Administrao Porturia.

Dessa forma o auditor dever verificar se as reas de atuao foram

contempladas na elaborao do plano.
Anlise situacional
Verificar se consta do plano uma anlise situacional, em termos de
segurana, que esteja de acordo com as regulamentaes nacionais e
internacionais existentes, referentes ao setor porturio em geral, inclusive, no
que diz respeito s instalaes porturias de cada porto organizado e de
terminais de uso privativo localizado fora do porto organizado e de reas
adjacentes.
Deve fazer parte do panorama a apresentao dos antecedentes e da
situao atual, enumerando-se as ocorrncias de incidentes de segurana em
navios e instalaes, os cenrios internacional, nacional e local, bem como a
regulamentao aplicvel.

79

Procedimentos operacionais
Este item da Resoluo 12/2003 estabelece o contedo bsico para um
plano de segurana pblica porturia, e com fundamento nele, o auditor
dever:
Verificar se a estrutura organizacional e regimental da Unidade de
Segurana (US) da instalao porturia foi definida, como tambm as
atribuies de seus elementos organizacionais.
Ateno deve ser dispensada na verificao do regimento interno da
Unidade de segurana, com os deveres e responsabilidades de seu pessoal, se
foram estabelecidos parmetros de desempenho para avaliar a eficcia
coletiva e individual, bem como os procedimentos operacionais da unidade.
Verificar se constam no plano os deveres e responsabilidades dos
proprietrios, dirigentes e demais funcionrios, relativos segurana e aos
procedimentos operacionais.
Verificar se foi definido um sistema de cadastramento que atenda ao
pessoal da US, aos proprietrios, dirigentes, funcionrios, a todas as pessoas
que eventualmente trabalhem, faam uso ou trafeguem nas instalaes
porturias.
Verificar se foram definidas as normas de acesso s instalaes
porturias.26
Verificar se foi definido um sistema de cadastramento de veculos,
embarcaes e equipamentos que operem em apoio s atividades porturias,
bem como das cargas em geral, mercadorias perigosas e substncias nocivas
por eles movimentadas.
Verificar se foram definidas as normas de acesso de veculos,
embarcaes, equipamentos, cargas, mercadorias perigosas e substncias
nocivas s reas de acesso pblico, controlado e restrito.
Verificar se foram definidos os procedimentos relativos a
movimentao, manuseio e armazenamento de cargas em geral, mercadorias
perigosas e substncias nocivas, de forma a garantir a segurana pblica
porturia.
Verificar se foram definidos os procedimentos para evitar o acesso
ilcito de armas, drogas e substncias nocivas, artefatos explosivos e demais
26

Item especfico abordar como auditar o controle de acesso.

80

mercadorias perigosas, assim como de outros objetos, produtos ou

substncias que possam causar danos s instalaes, bens e pessoas.
Verificar se foram definidos os procedimentos de acesso s
informaes, de rotina e confidenciais, sobre movimentao de cargas;
equipamentos e pessoas envolvidas nos servios da instalao; cronogramas
de trabalho e programao do porto; armazenagem de mercadorias perigosas
e substncias nocivas; incidentes de segurana, pontos sensveis e
vulnerabilidades.
Verificar se foram definidos os procedimentos para a proteo das
informaes armazenadas em meio fsico, eletrnico ou magntico.
Verificar se foram indicados os processos para a avaliao da eficcia
dos equipamentos/sistemas de segurana e os procedimentos para a
identificao e resoluo de falhas.
Verificar se foram definidos os procedimentos relativos ao controle
das atividades voltadas para o apoio porturio e o auxlio manobra das
embarcaes, como tambm para o abastecimento e transporte de pessoal e
material para elas.
Verificar se foi indicada a sistemtica de integrao operacional da US
da instalao porturia com as autoridades pblicas com elas envolvidas.
Verificar se foram indicados os sistemas de comunicao entre as
embarcaes, as companhias de navegao, as US das instalaes porturias
e a autoridade de segurana pblica porturia local.
Verificar se foram definidos os procedimentos de comunicao entre
as embarcaes, as companhias de navegao, as US das instalaes
porturias e a autoridade de segurana pblica porturia local, de tal forma
que permita a tais comunicaes serem contnuas e eficazes.
Verificar se foram definidos os tipos de Sinais de Alarme (SA), os
procedimentos, os meios e os canais de difuso a serem adotados pelas US
das instalaes em face do recebimento dos pedidos de apoio procedentes
das embarcaes sob risco no porto e em razo de deteco de ameaas s
instalaes.
Verificar se foram detalhadas as medidas adicionais de segurana que
permitiro s instalaes porturias elevar seu nvel de segurana para 227 ou
27

O nvel 2 estabelecido pela Autoridade de Segurana Pblica Porturia local.

81

328, e se esto indicadas as implicaes que essas mudanas de nvel podem

trazer para as atividades desenvolvidas na rea da instalao porturia e suas
cercanias.
Verificar se foram definidos os procedimentos a serem adotados pelas
US e pelas embarcaes para o controle das movimentaes navio/terra de
tripulantes, profissionais no tripulantes e demais pessoas.
Verificar se foram definidos os procedimentos a ser cumpridos pela US
da instalao porturia e pelos navios, para o trmite da Declarao do
Comandante29 do conhecimento das normas nacionais de Segurana Pblica
Porturia.
Verificar se est estabelecida a forma de registro e encaminhamento
de ilcitos30 ocorridos na instalao, de acordo com a legislao especfica.
Formao e treinamento
Verificar se consta no plano previso a respeito de formao,
treinamento, simulaes e exerccios a serem realizados periodicamente pelo
pessoal das US e pelo o pessoal da instalao porturia.
Auditorias e revises
Verificar se consta no plano previso de realizao de auditorias e
revises regulares internas do plano se segurana, como a forma de emendas
decorrentes de ocorrncias ou mudanas nas circunstncias, incluindo
exerccios simulados peridicos.

28

O nvel 3 e os decorrentes procedimentos so estabelecidos pelo Gabinete de Segurana

Institucional da Presidncia da Repblica.
29
O Comandante de embarcao que efetua trfego internacional deve declarar estar ciente
das normas nacionais de Segurana Pblica Porturia a que se subordina; proceder ao registro,
no rgo policial competente, dos acontecimentos e atos ilcitos ocorridos contra a
embarcao, a carga ou as pessoas embarcadas; encaminhar US da Instalao relatrio
circunstanciado sobre atos ilcitos ocorridos contra a embarcao, a carga ou as pessoas
embarcadas, e, em caso de no-ocorrncia de atos ilcitos, firmar declarao nesse sentido e
entreg-la US respectiva, antes de deixar a instalao porturia brasileira.
30
Esse registro feito no Relatrio Estatstico de Ilcitos Penais (RIP), em ateno ao que est
disposto no Decreto n 1.507/95. Se a instalao porturia for localizada na rea do porto
organizado, esse relatrio dever ser encaminhado US da administrao porturia; caso

82

Anexos
Verificar se os anexos contm normas, plantas, mapas e croquis
relacionados com os objetivos do plano.
2.5.3 Exame da funcionalidade do plano
A auditoria da funcionalidade (exame de conformidade) do plano de
segurana porturia dever ser realizada com foco nas medidas de proteo
estabelecidas no plano. o exame realizado sobre o plano, para verificar se os
controles foram implementados, se esto mantidos e executados de acordo
com o estabelecido, e se so eficazes31.
Esse tipo de exame no mais estar verificando se determinado
domnio est atendendo a requisitos normativos, pois a etapa que verifica
esse cumprimento foi a etapa do exame para a confeco do documento
denominado plano de segurana, conforme foi abordado nos itens anteriores.
Observe-se que h uma diferena tnue entre a auditoria do plano e a
auditoria realizada com base no plano. A primeira diz respeito verificao da
conformidade com os requisitos do ISPS Code e das normas da CONPORTOS,
para a concepo, formatao, contedo e elaborao do plano; e a segunda
diz respeito ao exame e anlise da implementao do plano, ou seja, verifica a
sua funcionalidade utilizando o plano como o documento-base para o exame
a fim de constatao de conformidade. Esta etapa da auditoria conhecida
como exame de conformidade.
A etapa agora a de auditar o plano, para certificar se as medidas nele
constantes so pertinentes ao cenrio de proteo e proteo propriamente
dita. o exame com base no plano, no que foi nele especificado.

contrrio, esse relatrio ser encaminhado diretamente CESPORTOS.

31
Chamamos a ateno para a primeira auditoria realizada pela instalao porturia, pois
entendemos ser pertinente o exame cujo escopo seja todo o sistema de proteo, uma vez que
se objetiva obter ou manter a certificao internacional de proteo. Tal observao deve-se ao
fato de que nas auditorias de certificao, no se pode ter a garantia de que os domnios
escolhidos por amostragem numa auditoria interna patrocinada pela prpria instalao sejam
os mesmos escolhidos pela equipe de auditores certificadores. Dessa forma, fazemos tal
observao para que as instalaes porturias examinem todo o seu sistema de proteo
quando da sua primeira auditoria interna.

83

Como sabemos, o objetivo maior de um plano de segurana porturia

o de prevenir, detectar e responder a quaisquer eventos (intencionais ou
no) que atentem contra a proteo de portos, terminais e vias navegveis.
Ele deve ser elaborado de conformidade com uma avaliao de proteo
efetuada baseada nos principais riscos que afetam as atividades porturias,
principalmente os riscos relacionados com aes terroristas e aes
intencionais para a produo de danos. Como resultado dessa avaliao de
riscos, so elaboradas medidas de tratamento de riscos, para reduzi-los a
nveis aceitveis e controlveis, afastando a possibilidade de eventos danosos
aos negcios e segurana como um todo. Tudo isso tem como produto final
um plano de segurana.
Definir aes e implement-las no significa que so pertinentes, nem
que atendem s demandas de segurana, nem que essas medidas
proporcionam segurana adequada para uma instalao porturia. Para que
exista uma garantia de equilbrio entre as medidas implementadas e a sua
funcionalidade, faz-se necessria a realizao dessas auditorias, que
especificamos como sendo para o exame da funcionalidade das medidas de
proteo.
Essa auditoria realizada in loco, mediante um conjunto de atividades
que o auditor desempenhar para um exame detalhado das medidas de
proteo. As verificaes devem seguir o roteiro do plano de proteo,
devendo o auditor examinar cada item e seus detalhes, para verificar se os
procedimentos de controle foram implementados e esto sendo executados
conforme estabelecidos, alm de avaliar a sua eficcia32.
Os controles de um sistema de proteo porturia compreendem as
polticas, procedimentos, diretrizes, prticas e estrutura fsica e
organizacional. Cada controle estabelecido com uma finalidade especfica,
denominada de objetivo de controle.
Os objetivos de controle descrevem as metas que a instalao procura
alcanar naquele domnio, e geralmente j vm especificados no plano ou na

32

O exame da eficcia dos controles pode ser considerado outra etapa da auditoria voltada
para verificar se no existem falhas nem vulnerabilidades no sistema de proteo, e se os
controles existentes atendem sua finalidade. Entretanto, o mais comum o de se realizar esse
exame juntamente com a verificao da conformidade com as medidas estabelecidas no plano.

84

norma, e antecedem os controles, que so estabelecidos para se alcanar o

objetivo de controle.
Por exemplo, para o controle de acesso de trabalhador porturio
avulso (TPA), o objetivo de controle estabelecido no plano o de proibir o
acesso indevido e manter a ordem e a segurana no terminal. E para se atingir
esse objetivo, os controles propostos so:
S permitida a entrada se constar de relao previamente remetida
ao Terminal, pelo rgo gestor de mo-de-obra do trabalho porturio
avulso (OGMO).
Todos os TPA devem ser submetidos revista e ao detector de metais,
para s aps receberem a autorizao de acesso e o carto interno.
Na sada do Terminal, a revista obrigatria.
Todos devem ser responsveis pela guarda e conservao do crach.
Se algum TPA estiver sem o crach, no lhe deve ser permitida a
passagem pelos postos de controle interno do Terminal. Nesse caso,
deve ser encaminhando ao supervisor de segurana para avaliar e
resolver o problema.
proibido o acesso de arma de fogo, mesmo para quem possua porte
de arma, e de qualquer tipo de arma branca.
As responsabilidades pela execuo desses controles (procedimentos)
esto nos procedimentos prprios do posto de controle especfico para o
acesso do TPA e nos procedimentos do supervisor de segurana. Os registros
devero estar nos relatrios dos sistemas de controle de acesso e nos livros
de ocorrncias e registros gerais.
Observe-se que para cada controle existe um objetivo para o qual ele
foi estabelecido, e junto com esse objetivo os controles especficos para
aquela atividade, os responsveis pela sua execuo e os registros gerados.
E tudo isso o auditor dever examinar, pois o no-cumprimento de
determinado controle uma no conformidade, e poder, segundo o
exemplo acima, comprometer a operao de manuseio da embarcao e
provocar um evento de segurana que comprometer a continuidade das
operaes do terminal e das instalaes vizinhas.
No exemplo acima, o auditor deveria, no mnimo, verificar: se os
responsveis pelos controles acompanham as operaes e se conhecem os

85

procedimentos; se os procedimentos esto dispostos, afixados e visveis no

local de trabalho (disponvel numa pasta, afixado na guarita, aposto numa
folha de controle, etc.); se cada procedimento estabelecido aplicado para
cada trabalhador avulso, e, em caso negativo, a forma de registro; se os
procedimentos so seguidos item por item, e cada documento gerado.
Tal auditoria caracteriza-se pela constatao da efetividade dos
controles internos, por meio de vrios procedimentos de auditoria, como, por
exemplo, a observao das atividades, a aplicao de teste de conformidade,
a aplicao de entrevistas e questionrios, a verificao e o exame das
medidas fsicas de proteo, dentre outras. Essa constatao de
conformidade ser atestada pelo auditor no seu relatrio, com base nas
evidncias fsicas, documental e testemunhal, nas anlises dos testes e por
confirmao de terceiros.
O exame fsico deve ser realizado no local da atividade, ou no setor
responsvel pelo controle, sobre toda e qualquer documentao que se
referir ao controle, em todos os equipamentos utilizados para dar suporte ao
controle, nas barreiras fsicas e nos livros de registros especficos de
segurana.
A confirmao deve ser feita nas autorizaes de acesso de pessoal,
veculos, prestadores de servio e visitantes, aps conferncia fsica ou lgica
dessas autorizaes.
A observao das atividades do setor auditado e as entrevistas devem
ser realizadas diretamente pelos executores das medidas de proteo,
inclusive indagando sobre possveis situaes no-convencionais de tentativa
de acesso no autorizado.
Os testes de conformidade dos procedimentos implementados devem
ser realizados sobre a execuo das atividades de modo a atestar a
confiabilidade e a segurana dos controles. Toda vez que uma no
conformidade for encontrada, ou apaream dvidas quanto eficcia do
controle em anlise, deve ser realizada uma investigao minuciosa sobre os
controles.
A escolha da amostragem deve priorizar as no conformidades
encontradas em auditorias anteriores e nas atividades onde existam maiores
riscos contra a segurana da instalao porturia. Na primeira auditoria a ser
realizada, importante que as verificaes sejam realizadas sobre todos os

86

controles, principalmente nas instalaes de mdio e pequeno porte, e

naquelas que manuseiam produtos de risco.
Essa amostragem poder ser escolhida por critrio estatstico ou
aleatoriamente; contudo, imprescindvel que os critrios de amostragem
sejam estabelecidos e justificados, devendo sempre ser considerados os
registros nos livros de ocorrncia, bem como as informaes coletadas nas
entrevistas com os operadores do sistema de proteo, e os controles sobre
os riscos.
A extenso do exame do auditor depender das conformidades
encontradas, da observao do auditor sobre as atividades executadas e da
criticidade da operao para o negcio da instalao porturia.
O sucesso dessa auditoria encontra-se no s no emprego dos
procedimentos, tcnicas de auditoria, identificao dos objetivos de controle
e controles, mas tambm no conhecimento do sistema de proteo da
instalao porturia e da sua avaliao de riscos, no conhecimento das
atividades da instalao porturia e na compreenso do contexto de proteo
do ambiente porturio.
Ao se avaliar um controle como ineficaz no significa dizer que existe
uma no conformidade, pois os procedimentos podero estar sendo
executados em conformidade com o plano e no serem eficazes. Para se
registrar uma no conformidade faz-se necessrio que o controle no esteja
implementado, ou implementado em parte, ou no executado conforme
estabelecido, por exemplo.
Este tipo de exame (avaliao da eficcia) no comum de ser
realizado pelos auditores certificadores, que na prtica, realizam a auditoria
com foco no exame dos requisitos e no exame de conformidade. Esta etapa
mais comum de se realizar pelas auditorias internas. Entretanto, nada impede
que a organizao certificadora estabelea critrios mnimos de se aferir a
eficcia dos controles implementados. Esse exame caracterstico das
auditorias do ISPS Code.
Contudo, quando de um exame de conformidade, um auditor
certificador poder se defrontar com uma vulnerabilidade de um controle ou
com um controle ineficaz, mesmo no sendo uma no conformidade.
Contudo, nas inspees de organismos fiscalizadores, como a CONPORTOS e
CESPORTOS, tais controles podero ser avaliados quanto a sua eficcia.

87

2.6 Auditoria do controle de acesso

O controle de acesso o processo que limita e controla o acesso, e
por meio dele que se permite ou se probe que pessoas e veculos tenham
acesso a determinado local. Esse controle pode ser fsico ou lgico.
Os controles de acesso podem ser de diversos tipos e variam de
acordo com o tipo e o tamanho da organizao, da disponibilidade de
recursos e da deciso tomada para o controle de acesso.
Os tipos de controle de acesso mais comuns so os no
automticos (porteiros e recepcionistas), semiautomticos
(interfones, porteiros eletrnicos e porteiros eletrnicos
supervisionados), automticos (teclados, cartes, tarja
magntica, magnticos de proximidade, ticos,
perfurados, leitura de barras), deteco de intruso e
monitorao de alarme (sensores33 que detectam a
presena de um intruso, sistema que transmite um sinal de
alarme, e equipamento e mtodo usados para controlar e
monitorar o sistema) (DANTAS, 2003, p. 94).

Suas principais aplicaes so: controle de acesso em departamentos;

controle de acesso em portarias e recepes; controle de veculos; automao
de ponto e automao predial (CIACCIO, 2005, p.10).
De forma geral, o controle de acesso constitui uma importante
barreira contra os eventos que possam vir a atentar contra a segurana de
instalaes, pessoas, equipamentos e sistemas. Normalmente realizado na
entrada do local de trabalho, numa rea, numa sala ou dependncia qualquer
e baseia-se na identificao e na autorizao para o acesso.
Os objetivos do controle de acesso em instalaes porturias so
assegurar o acesso autorizado, bem como prevenir e evitar o acesso no
autorizado e danos instalao porturia. Alm disso, um bom sistema de
controle de acesso gerencia o fluxo de pessoas e veculos dentro de uma
determinada rea.
33

Existem ainda vrios tipos de sensores: infravermelhos, microondas, ultrassons,

deslocamento de imagens, fotoeltrico, de proximidade, ssmico, choque e/ou combinao dos
mesmos.

88

Na rea porturia, o controle de acesso realizado em diversas

etapas, iniciando-se j no acesso rea porturia de livre acesso (acesso
pblico), passando pelas reas de acesso controlado e indo at s reas
restritas dentro das instalaes. Esse controle executado pela segurana
porturia (vigilantes ou guardas porturios) e por pessoal envolvido com
procedimentos de controle de acesso, como porteiros e secretrias.
Auditar um sistema de controle de acesso implica verificar 3 aspectos:
as diretrizes, as normas e os procedimentos.
As diretrizes so as regras gerais nas quais so descritos os principais
critrios e procedimentos para a elaborao das normas de controle. Elas
podem ser estabelecidas pela prpria organizao nas polticas e nos plano de
segurana, ou podem ser estabelecidas por cdigos de conduta, de
segurana, ou ainda pelas normas de regulamentao de atividades, setores,
etc. Essas diretrizes constituem os documentos-base para o exame do auditor
sobre as normas e procedimentos de controle de acesso.
As normas compreendem um conjunto de regras gerais e especficas
que devem ser usadas para o controle de acesso de todos os envolvidos no
sistema. Como referncia so as normas de controle de acesso a um
complexo porturio34, a uma instalao porturia, etc.
A auditoria dessas regras deve ser pautada pelos requisitos e diretrizes
do ISPS Code e da Resoluo CONPORTOS 12/2003, e pelos documentos da
poltica de controle de acesso da instalao porturia.
Os procedimentos so as orientaes operacionais do controle de
acesso, que so empregados pelos postos de controle de acesso pblico,
controlado, restrito, e por setores envolvidos no sistema de controle de
acesso. A auditoria de procedimentos a operacional, a qual verificar os
procedimentos de controle implementados e mantidos, para constatar a sua
conformidade e avaliar a sua eficcia.
Para o sucesso dessa auditoria, faz-se necessrio que o auditor tenha a
compreenso do que seja um sistema de controle de acesso e a sua

34

Na rea porturia, podero ser encontradas normas de controle de acesso a um complexo

porturio e normas especficas para cada instalao porturia do complexo, principalmente
aquelas que estejam nas reas de acesso controlado e restrito.

89

complexidade, para que, ao realizar a auditoria verifique o sistema nesses trs

aspectos35, fazendo a interligao entre eles.
Essa atitude do auditor contribuir para a melhoria do sistema de
proteo como um todo, principalmente se considerarmos que o controle de
acesso a principal barreira de proteo, uma vez que a maior parte das
ameaas passa por uma vulnerabilidade no sistema de controle de acesso.
Para a execuo da auditoria do controle de acesso nas instalaes
porturias, seguiremos a mesma filosofia empregada para a auditoria sobre o
plano de segurana porturia. Dessa forma, a auditoria se efetuar sobre dois
aspectos: um para a constatao dos requisitos e diretrizes na elaborao das
normas e procedimentos de controle de acesso; e outro para o exame
operacional dessas medidas.
2.6.1 Exame dos requisitos do ISPS Code
O exame das normas de controle de acesso dever atentar para o
contedo dessas normas, verificando se atendem aos requisitos e s diretrizes
estabelecidas. Os principais documentos-base para esse exame so o ISPS
Code e a Resoluo CONPORTOS 12/200336. O ISPS Code (partes A e B)
apresenta uma srie de requisitos e diretrizes para o controle de acesso, e a
Resoluo 12/2003 orienta como devem ser elaboradas as normas de controle.
Essas normas de controle de acesso devero discriminar: qual o seu
propsito, como e por quem ser executado o controle de acesso; quais os
postos responsveis pelo acesso; o que dever ser feito para o cumprimento
da norma; as penalidades; as disposies transitrias, e as disposies finais.
Os requisitos do ISPS Code, de modo geral, estabelecem uma
orientao para que as medidas de controle de acesso sejam estabelecidas
para proteger os passageiros, o pessoal do navio, o pessoal das instalaes
porturias e suas visitas; as instalaes porturias; os navios que utilizam e
35

A auditoria sobre as diretrizes, as normas e os procedimentos pode ser tambm

compreendida como auditoria do nvel estratgico, ttico e operacional. O estratgico
abrangeria as diretrizes, requisitos e planos. O ttico envolveria o exame das normas e
procedimentos, na sua elaborao e contedo. O operacional teria com foco o desempenho
das atividades de controle.
36
Caso a instalao possua algum documento aprovado da poltica de segurana, essa
verificao tambm dever abranger esse documento.

90

servem as instalaes porturias; os locais vulnerveis com relao proteo

e as reas dentro das instalaes porturias; os sistemas e equipamentos de
proteo e vigilncia; as cargas e as provises do navio contra adulteraes.
De forma especfica, o ISPS Code estabelece que as medidas de
proteo para o manuseio de cargas devem relacionar-se com a preveno
contra a adulterao e a permanncia indevida na instalao porturia; as
medidas de proteo para a entrega de provises aos navios devem assegurar
a verificao das provises do navio e da integridade das embalagens,
prevenir para que as provises do navio sejam aceitas sem nenhuma inspeo,
prevenir a adulterao, prevenir para que as provises do navio sejam aceitas
a menos que tenham sido encomendadas, garantir a revista do veculo
utilizado para a entrega e garantir que os veculos utilizados para a entrega
sejam escoltados dentro das instalaes porturias; as medidas de proteo
de bagagens desacompanhadas devem garantir a sua identificao e
verificao apropriada. Essas medidas devem ser elaboradas por nvel de
proteo.
Dessa forma, em atendimento aos requisitos especficos do ISPS Code,
apresentamos um pequeno roteiro para que o auditor possa efetuar o exame
dos requisitos e diretrizes do controle de acesso, por nvel de proteo.
Nvel de proteo 1
O auditor dever verificar se constam:
A determinao de reas de acesso restrito que precisam ser fechadas por
cercas ou outras barreiras, de acordo com um padro a ser aprovado pelo
governo contratante.
A identificao de todas as pessoas que queiram entrar nas instalaes
porturias em conexo com um navio, incluindo passageiros, pessoal do navio
e visitas, e a confirmao de seus motivos para tal.
A identificao de veculos utilizados por aqueles que queiram entrar nas
instalaes porturias em conexo com um navio.
A identificao do pessoal das instalaes porturias e daqueles
empregados dentro das instalaes porturias e seus veculos.

91

 A restrio de acesso a fim de excluir o acesso a pessoas no-empregadas

pelas instalaes porturias, ou que no estejam trabalhando nas mesmas,
caso no forneam provas de sua identidade.
As revistas de pessoas, objetos pessoais, veculos e seus contedos.
A identificao de quaisquer pontos de acesso que no sejam usados
regularmente, os quais devem ser permanentemente fechados e trancados.
A verificao rotineira de cargas, unidades de transporte de cargas e reas
de armazenamento de cargas dentro das instalaes porturias, antes e
durante as operaes de manuseio.
A verificao para assegurar que as cargas que entram nas instalaes
porturias esto de acordo com o que est especificado nas notas de entrega
ou em documentos equivalentes da carga.
As revistas de veculos e as verificaes de lacres e de outros mtodos
utilizados para impedir violaes realizadas na entrada da carga nas
instalaes porturias e no seu armazenamento dentro das mesmas.
As medidas para a entrega de provises aos navios com a verificao das
provises do navio, a notificao antecipada em relao composio da
carga e informaes sobre o motorista e a placa do veculo, bem como a
revista do veculo utilizado para a entrega.
As medidas para a verificao de todas as bagagens desacompanhadas.
Nvel de proteo 2
O auditor dever verificar se constam:
A designao de pessoal extra para vigiar pontos de acesso e patrulhar
barreiras em permetros.
A limitao do nmero de pontos de acesso s instalaes porturias e a
identificao daqueles que devem ser fechados e os meios para fech-los.
A proviso de meios que impeam o movimento atravs dos pontos de
acesso restantes.
O aumento da frequncia de revistas de pessoas, objetos pessoais e
veculos.
A limitao e a recusa de visitas que no possam apresentar um motivo
verificvel para ter acesso s instalaes porturias.
A utilizao de embarcaes de patrulha para reforar a proteo na gua.

92

 A verificao minuciosa das cargas, unidades de transporte de cargas e das

reas de armazenamento de cargas dentro das instalaes porturias.
As verificaes reforadas para assegurar que somente cargas
documentadas entrem nas instalaes porturias, sejam ali temporariamente
armazenadas, e posteriormente carregadas para bordo do navio.
As revistas intensificadas de veculos e o aumento na frequncia e detalhes
das verificaes de lacres e de outros mtodos usados para a preveno de
adulteraes;
A verificao minuciosa das provises do navio.
As revistas minuciosas dos veculos utilizados para a entrega e a
coordenao com o pessoal do navio para verificar se o pedido est de acordo
com a nota de entrega antes de o veculo entrar nas instalaes porturias.
A escolta do veculo de entrega dentro das instalaes porturias.
As medidas para verificaes mediante o uso de raio-X em todas as
bagagens desacompanhadas.
Nvel de proteo 3
O auditor dever verificar se constam:
A suspenso do acesso a todas as instalaes porturias ou a parte das
mesmas; a concesso de acesso somente queles que estiverem respondendo
a um incidente ou ameaa de proteo.
A suspenso do trfego de pedestres ou de veculos dentro das instalaes
porturias ou em parte das mesmas;
O aumento das patrulhas de proteo dentro das instalaes porturias.
A suspenso das operaes do porto em todas as instalaes porturias ou
em parte das mesmas.
O direcionamento do trfego de navios em relao a todas as instalaes
porturias ou a parte das mesmas.
A evacuao de todas as instalaes porturias ou de parte das mesmas.
As restrio ou a suspenso de movimentao ou operaes de cargas
dentro de todas as instalaes porturias, ou de parte delas, ou em
determinados navios.
A verificao do inventrio de mercadorias perigosas e de substncias
nocivas mantidas nas instalaes porturias e a sua localizao.

93

 A imposio de restries ou a suspenso da entrega das provises do

navio em todas as instalaes porturias ou em parte delas.
O exame mais detalhado das bagagens desacompanhadas, a suspenso do
seu manuseio, e a recusa em aceit-las.
2.6.2 Exame dos requisitos da CONPORTOS
A Resoluo 12/2003 da CONPORTOS, em seu anexo III, orienta sobre
como devem ser elaboradas as normas de controle de acesso e circulao de
veculos e de pessoas, nas reas de acesso pblico37, controlado38 ou
restrito39.
Nesse anexo III, so estabelecidas orientaes para o
controle de acesso de: pessoas (cadastramento, controle de acesso e de
trnsito); veculos (cadastramento, controle de acesso, de trnsito e
estacionamento); aeronaves (controle de acesso), e trens (controle de
acesso).
Dessa forma, apresentamos, abaixo, os principais pontos a
serem verificados pelo auditor com base nessas diretrizes, na auditoria do
controle de acesso.40

37

So aquelas consideradas de interesse no Plano de Segurana Pblica Porturia (PSPP), onde

o acesso de pessoas ou de veculos se d sem restries, sem necessidade de registro ou
cadastramento, porm vigiadas ou monitoradas.
38
So aquelas consideradas de interesse no PSPP, onde o acesso de pessoas ou veculos se d
sem restries, com necessidade de registro ou cadastramento. Normalmente esse acesso a
rea do porto organizado.
39
So aquelas consideradas de interesse no PSPP, onde o acesso restrito, exclusivamente, a
pessoas e veculos autorizados. Normalmente, esse acesso zona primria.
40
Lembramos que essa auditoria deve examinar se as normas de controle de acesso foram
elaboradas com base nesses requisitos, e tambm examinar se esto implementadas e se
atendem finalidade para qual foram estabelecidas. Por opo, apenas apresentamos um
roteiro dos principais pontos a serem examinados com base nessa resoluo. O auditor no
dever limitar-se a esse roteiro. Ele dever ampliar o seu exame para a auditoria operacional do
controle de acesso, cujos procedimentos devero, no mnimo, seguir a mesma linha dos
exames do plano de segurana porturia.

94

Pessoas
Cadastramento
Os critrios para a habilitao de pessoas ao cadastramento, e quais os
dados a serem exigidos.
A sistemtica de obteno do cadastramento, com os procedimentos
adotados na solicitao, renovao e cancelamento, incluindo a validade da
autorizao de acesso.
A sistemtica de identificao do cadastrado para as reas de acesso
restrito, controlado ou pblico da instalao porturia.
A sistemtica de divulgao, para os cadastrados e para o pblico interno,
dos procedimentos para o cadastramento.
Acesso e Trnsito de Pessoas
Os critrios adotados para o acesso e trnsito de pessoas na instalao
porturia.
A sistemtica de controle de acesso e trnsito, com a estrutura
organizacional, atribuies e responsabilidades, bem como os tipos de
procedimentos adotados para a identificao, inspeo, vistoria e registro de
pessoas.
As bagagens transportadas; as restries impostas pela legislao em
vigor. As movimentaes navio-terra, de tripulantes, profissionais no
tripulantes e demais pessoas, devero ser consideradas na verificao desse
item pelo auditor.
A sistemtica de avaliao da eficcia dos equipamentos/sistemas de
controle de acesso, com os procedimentos para a identificao e a resoluo
de falhas nos equipamentos/sistemas.
A sistemtica de divulgao dos procedimentos de controle para as
pessoas que tenham acesso instalao porturia; pblico interno de
interesse da administrao, e para os representantes de empresas e rgos
pblicos que tm necessidade de ter acesso a ela.
A sistemtica de registro e o arquivamento dos dados e informaes
colhidas sobre as pessoas, por ocasio do acesso e sada da instalao
porturia.

95

 A sistemtica de troca de informaes com os diversos rgos pblicos

envolvidos.
Veculos
Cadastramento
Os critrios para a habilitao ao cadastramento de veculo e respectivo
condutor, com os dados a serem exigidos.
A sistemtica de obteno do cadastramento, com os procedimentos
para a solicitao, renovao, cancelamento e sua validade.
A sistemtica de identificao para o acesso a cada rea da instalao
porturia (de acesso restrito, controlado ou pblico).
A sistemtica de divulgao dos procedimentos a serem adotados pelos
condutores dos veculos para o acesso e circulao na instalao porturia,
para os cadastrados e para o pblico interno.
Acesso e trnsito de veculos
Os critrios para o acesso e trnsito de veculos na instalao porturia.
A sistemtica de controle de acesso e trnsito, com a estrutura
organizacional, atribuies e responsabilidades; os tipos de procedimentos
para a identificao, vistoria e registro dos veculos que tm acesso s
instalaes, com suas respectivas cargas e pessoas que estejam no interior do
veculo.
A sistemtica de avaliao da eficcia dos equipamentos/sistemas de
controle de acesso, com os procedimentos para a identificao e a resoluo
de falhas nos equipamentos/sistemas.
A sistemtica de divulgao dos procedimentos de controle de acesso e de
trnsito para os condutores dos veculos que tm acesso instalao
porturia; para o pblico interno e para as empresas e demais pessoas fsicas
e jurdicas envolvidas com o acesso de veculos instalao porturia.
A sistemtica de registro e o arquivamento dos dados e informaes
colhidas do sistema de controle de acesso.
A sistemtica de troca de informaes com os diversos rgos pblicos
envolvidos.

96

Estacionamento de Veculos
Os critrios para o estacionamento de veculos na rea da instalao
porturia.
As reas destinadas ao estacionamento de veculos e suas restries de
uso; o critrio para a utilizao; a sinalizao; sua utilizao e perodo de
permanncia.
A sistemtica de fiscalizao do uso das reas de estacionamento.
A sistemtica de divulgao das normas de utilizao das reas
destinadas ao estacionamento de veculos.
Aeronaves
Sistemtica de controle de movimentaes por aeronave de pessoal e
material na instalao porturia.
Sistemtica de troca de informaes entre o setor de controle de
operaes de aeronaves e a Unidade de Segurana (US) da instalao
porturia.
Sistemtica de registro e arquivamento de dados e informaes sobre as
movimentaes por aeronaves de pessoal e material.
Trens
Sistemtica de controle das movimentaes de trens, ocorridas na
instalao porturia.
Sistemtica de troca de informaes entre o setor de controle de
operaes ferrovirias com a US da instalao porturia.
Sistemtica de registro e arquivamento de dados e informaes colhidos
sobre as movimentaes de trens.
2.6.3 Exame operacional do controle de acesso
Como j foi visto, a auditoria operacional ou da funcionalidade
caracteriza-se pela constatao da efetividade dos controles internos,
mediante vrios procedimentos de auditoria. Os procedimentos bsicos so
os mesmos para se constatar a efetividade do plano de segurana, como, por
exemplo, a observao das atividades, a aplicao de teste de conformidade,

97

a aplicao de entrevistas e questionrios, a verificao e exame das medidas

fsicas de proteo, dentre outros.
O exame fsico deve ser realizado no local da atividade, sobre toda e
qualquer documentao que se referir ao controle, em todos os
equipamentos utilizados para dar suporte ao controle, nas barreiras fsicas,
bem como nos livros de registros especficos e papis de trabalho utilizados
pelo pessoal envolvido diretamente nos controles de acesso.
A confirmao deve ser feita nas conferncias das autorizaes para o
acesso de pessoal, veculos, prestadores de servio e visitantes.
A observao das atividades e as entrevistas devem ser feitas
diretamente com os executores das medidas de proteo, inclusive indagando
lhes a respeito de possveis situaes no convencionais de tentativa de
acesso no autorizado.
Os testes de conformidade devem ser realizados sobre a execuo das
atividades para atestar a confiabilidade e a segurana dos controles. Toda vez
que uma no conformidade for encontrada, ou apaream dvidas quanto
eficcia do controle em anlise, deve ser realizada uma investigao mais
detalhada sobre os controles em foco.
A escolha da amostragem deve priorizar as no conformidades
encontradas em auditorias anteriores e nas atividades onde existam maiores
riscos contra a segurana da instalao porturia.
Abaixo, vamos exemplificar alguns procedimentos de controle de
acesso zona primria de um porto qualquer.
Acesso de pessoas Zona Primria
O acesso de pessoas s ser permitido com uma
autorizao registrada na central de operaes.
Caso no conste o nome da pessoa na relao de pessoas
autorizadas, deve-se orient-la para aguardar a autorizao
e, se estiver com veculo, estacionar o mesmo de forma a
no prejudicar o acesso de outros veculos enquanto
aguarda.
Funcionrios
Exigir do funcionrio a identificao funcional ou a
apresentao do crach, que dever ficar exposto e
permanecer com ele.

98

No caso de o funcionrio no constar no cadastro, ou tiver

esquecido ou extraviado a sua identificao ou o crach, o
acesso lhe ser permitido aps ser confirmada a
autorizao de permanncia no Porto, e a guarda dever
colocar o nome do funcionrio numa relao especfica a
ser encaminhada, posteriormente, central de operaes.
Veculos de funcionrios
S tm acesso os veculos autorizados. Caso o veculo no
esteja autorizado, dever aguardar a autorizao da
central de operaes.
Quando o funcionrio vier com pessoas estranhas, o
veculo dever ser revistado, e essas pessoas s podero
entrar quando autorizadas pela superviso da segurana e
pelo chefe do setor a que o funcionrio pertence. Este
ltimo dever assinar um termo de responsabilidade pela
conduta dessas outras pessoas.
Trabalhadores porturios avulsos
Solicitar-lhes a apresentao da autorizao ou das escalas
de servio do setor competente, e identific-los
funcionalmente ou identific-los pelo registro no rgo
gestor de mo-de-obra do trabalho porturio avulso.
Revistar as bolsas e sacolas de todo trabalhador avulso e
solicitar um apoio para a revista quando o nmero for
superior a 10 trabalhadores.
Inspecionar todo e qualquer veculo dos trabalhadores,
solicitando que seja aberta a mala do veculo, tanto na
entrada quanto na sada.
Donos de mercadorias
Exigir-lhes a solicitao do fiel depositrio e identific-los
como sendo os proprietrios da mercadoria.
No caso de a pessoa a retirar a mercadoria no ser a que
conste na solicitao do fiel depositrio, exigir a
autorizao do proprietrio para retir-la. Nesse caso,
manter contato com a central de operaes para checar o
procedimento.
Veculos de carga e autnomos
Verificar se o veculo est cadastrado, se o motorista est
autorizado e solicitar a apresentao da autorizao de

99

transporte emitido pela empresa proprietria do veculo,

ou da empresa instalada no porto, ou do operador
porturio.
Caso no conste o nome da pessoa na relao de pessoas
autorizadas, ou o veculo no esteja autorizado, manter
contato com a central de operaes e aguardar a
orientao para a autorizao, ou no. Nesse caso, orientar
para estacionar o veculo de forma a no prejudicar o
acesso de outros veculos.

No exame operacional do controle de acesso, o auditor alm de

conferir cada item de controle de acesso, dever utilizar, no mnimo, os
seguintes procedimentos de auditoria:
1- Exame fsico da documentao dos procedimentos que devem constar no
posto de acesso, e que servir de suporte ao agente de segurana que ali
estiver trabalhando; das barreiras de proteo e sua forma de ativao; e dos
equipamentos utilizados para dar suporte ao controle, principalmente os
alarmes e equipamentos de comunicao.
2- Entrevistar o vigilante usando o questionrio, para identificar se o mesmo
conhece as suas atividades, inclusive nas situaes de emergncia.
3- Confirmao com a central de operaes se determinada pessoa, veculo ou
carga que est acessando o complexo porturio consta de relao especfica,
e conferir (conferncia), posteriormente, na central; repetir tal procedimento
em cada situao especificada, como no exemplo acima citado.
4- Realizar investigao minuciosa para identificar o motivo da no
conformidade encontrada no controle de acesso de trabalhadores avulsos.
5- Efetuar exame dos registros auxiliares (livro de ocorrncias e pasta com
autorizaes de encarregados de setor).
6- Observar (observao) e correlacionar (correlao) as informaes obtidas
para obter evidncias de auditoria.

2.7 Auditoria das atividades da Guarda Porturia

A Guarda Porturia desenvolve suas atividades por meio do controle
de acesso, inspeo de pessoas, veculos e cargas, monitoramento e rondas

100

de segurana, bem como deteco de armas e explosivos. Essas atividades

so desenvolvidas pelos postos de comando, de controle e por equipes
tticas, alm de atividades administrativas com relao proteo como um
todo.
O Plano Nacional de Segurana Pblica nos Portos, aprovado pela
Resoluo CONPORTOS 002/2002, de 2 de dezembro de 2002, estabelece as
seguintes competncias para a Guarda Porturia41:

Promover a vigilncia e a segurana no porto

organizado. Na zona primria do porto organizado, a
vigilncia ser levada a efeito com o objetivo de garantir o
cumprimento da legislao que regula a entrada, a
permanncia, a movimentao e a sada de pessoas,
veculos, unidades de carga e mercadoria;

Prestar auxlio s autoridades que exeram suas

atribuies no porto, sempre que requisitada. Portanto, a
Guarda Porturia dever colaborar com os rgos de
segurana pblica e demais autoridades que atuam na rea
porturia para a manuteno da ordem e a preveno de
ilcitos no interior daquelas instalaes;

Exercer o policiamento interno das instalaes do

porto;

Zelar pela segurana, ordem, disciplina e fiel guarda

dos imveis, equipamentos, mercadorias e outros bens
existentes ou depositados na rea porturia, sob a
responsabilidade da administrao porturia;

Deter, em flagrante delito, os autores de crimes ou

contravenes penais e apreender os instrumentos e
objetos que tiveram relao com o fato, entregando-os
autoridade competente;

Registrar a ocorrncia, quando constatadas

atividades ilcitas, acidentes de trabalho, sinistros ou
avarias em equipamentos e veculos ou atividades
irregulares que venham a prejudicar o andamento das
operaes porturias, mantendo a preservao do local do
41

Competncias previstas, para a Guarda Porturia, no Plano Nacional de Segurana Pblica nos
Portos, aprovado pela Resoluo 002/2002, de 2 de dezembro de 2002.

101

delito, efetuando os levantamentos preliminares e

encaminhando-os autoridade competente;

Adotar as seguintes providncias, quando da

ausncia da autoridade competente, em caso de sinistro,
acidente, crime, contraveno penal ou ocorrncia
anormal:
Remover os feridos para o pronto-socorro ou
hospital, comunicando, de imediato, ao setor de
segurana do trabalho;
Isolar o local para a realizao de verificao e
percias, sempre que possvel sem a paralisao das
atividades porturias;
Acionar o grupo de combate a incndio, sempre
que necessrio.

Buscar a integrao dos rgos que compem a

CESPORTOS, para uma ao mais coordenada na
preveno e represso aos atos ilcitos.

A misso42 da Guarda/Vigilncia Porturia a de executar todas as

atividades de proteo de modo a garantir a segurana patrimonial das
instalaes porturias e promover a sensao de segurana no ambiente
porturio. A sua principal responsabilidade, no desempenho dessa misso,
assegurar que todas as tarefas relativas proteo das instalaes porturias
estejam em conformidade com os Planos Nacional de Segurana Pblica
Porturia e de Segurana da Instalao, e com o ISPS Code.
Para que isso possa ocorrer, a guarda porturia tem seus
procedimentos definidos. Eles variam de acordo com o nvel de atividade, que
pode ser desde uma simples checagem para acesso, at as aes
contingenciais para o isolamento de local em casos mais graves de ameaas
proteo da instalao porturia.
Nesse contexto, a auditoria tem como foco principal examinar essas
atividades, de modo a certificar-se de que a guarda porturia est agindo de

42

Essa misso no institucional, nem est estabelecida em regulamento. Contudo,

entendemos ser essa a misso de um servio de vigilncia na rea porturia, mais prximo do
contexto internacional de proteo.

102

acordo com os procedimentos estabelecidos, e de que os controles

estabelecidos so eficazes.
uma auditoria operacional, executada no local da atividade, a qual
exige bastante ateno do auditor na observao das atividades, na aplicao
de questionrios e na forma de execuo de procedimentos contingenciais.
O ponto de partida a reunio dos documentos que estabelecem a
misso, objetivos e procedimentos da guarda porturia para cada tipo de
situao, atividade e posto de controle. Em seguida, deve procurar obter
informaes sobre as principais atividades da instalao e os problemas mais
relevantes com relao s atividades da guarda porturia (queixas de
funcionrios e queixas dos guardas), e verificar os registros nos relatrios de
auditorias passadas e nos livros de registros de ocorrncias. De posse dessas
informaes, deve elaborar suas listas de verificaes e partir para o exame.
Para ilustrar o exame das atividades da guarda porturia,
apresentamos, abaixo, um exemplo de procedimentos para a atividade de
controle em uma rea de acesso restrito de uma instalao porturia.43
No nosso exemplo, os procedimentos esto especificados por posto
de controle para acesso a um terminal porturio, aqui identificado como TP-12,
onde constam: a localizao do posto, suas metas, os procedimentos gerais e
os especficos. Chamamos a ateno para que o auditor certifique se a guarda
porturia possui misso e objetivos definidos, que nesses casos devero ser
includos nos itens de verificao para cada posto de controle ou atividade
especfica de vigilncia.
Procedimentos do posto de controle de acesso ao
terminal porturio TP-12
Localizao
Localiza-se na Zona Primria (ZP), prximo ao acesso ao
Cais Interno (CI), e a sua rea de atuao toda a guarita
do posto e mais uma distncia de 150 metros da entrada e
da sada do posto.
Metas do posto
Identificar e controlar o acesso (entrada e sada) de todas
as pessoas, veculos e cargas que passarem pelo posto.
43

Adaptado de um caso real.

103

Manter a ordem e a segurana na rea de seu posto.

Procedimentos gerais
Assumir o posto.
Permanecer atento e observar tudo, no campo de viso e
de audio do seu posto.
Solicitar ajuda em qualquer suspeita de invaso.
Receber, obedecer e passar ao seu rendeiro todas as
ordens do chefe do setor e registr-las no livro de
ocorrncias.
Ter sempre ao seu alcance os telefones e os
procedimentos de emergncia.
Telefonar para o chefe de segurana em qualquer caso que
no esteja previsto nas instrues gerais e especficas.
Estar especialmente atento, noite, e no permitir a
entrada de ningum sem a autorizao necessria.
Conferir todo e qualquer servio a ser executado dentro e
fora do expediente, na rea restrita, verificando quem o
solicitou, se ainda permanece a necessidade do servio, as
credenciais de todos que iro execut-lo e informar a
equipe ttica para monitorar o deslocamento e o servio.
Fiscalizar veculos, tanto na entrada como na sada.
S deixar o posto quando devidamente rendido
(substitudo), ou quando autorizado pessoalmente pela
superviso.
Procedimentos especficos
Acesso de pessoas Zona Primria
O acesso de pessoas s ser permitido com uma
autorizao registrada na central de operaes.
Caso no conste o nome da pessoa na relao de pessoas
autorizadas, orient-la para aguardar a autorizao e, se
estiver com veculo, estacionar o mesmo de forma a no
prejudicar o acesso de outros veculos, enquanto aguarda a
autorizao.
Funcionrios
Exigir do funcionrio a identificao funcional ou a
apresentao do crach, que dever ficar exposto e
permanecer com ele.

104

No caso de o funcionrio no constar no cadastro, ou tiver

esquecido ou extraviado a sua identificao, o acesso lhe
ser permitido aps ser confirmada a sua autorizao de
permanncia no Porto, e a guarda dever colocar o nome
do funcionrio numa relao especfica a ser encaminhada,
posteriormente, central de operaes.
Veculos de funcionrios
S tm acesso os veculos autorizados. Caso o veculo no
esteja autorizado, dever aguardar a autorizao da
central de operaes.
Quando o funcionrio vier com pessoas estranhas, o
veculo dever ser revistado, e essas pessoas s podero
entrar quando autorizadas pela superviso da segurana e
pelo chefe do setor a que o funcionrio pertence. Este
ltimo dever assinar um termo de responsabilidade pela
conduta dessas outras pessoas.
Trabalhadores porturios avulsos
Solicitar-lhes a apresentao da autorizao ou das escalas
de servio do setor competente, e identific-los
funcionalmente ou identific-los pelo registro no rgo
gestor de mo-de-obra do trabalho porturio avulso.
Revistar as bolsas e sacolas de todo trabalhador avulso e
solicitar um apoio para a revista, quando o nmero for
superior a 10 trabalhadores.
Inspecionar todo e qualquer veculo dos trabalhadores,
solicitando que seja aberta a mala do veculo, tanto na
entrada quanto na sada.
Tripulantes e oficiais das embarcaes atracadas ou
fundeadas
Identificar se os nomes deles constam da lista de
tripulantes, conferindo-os com a central de operaes.
No caso de mais de cinco tripulantes desejarem entrar,
deve pedir apoio central de operaes para monitorar o
deslocamento at a embarcao.
Inspecionar todo e qualquer veculo que conduza essas
pessoas, solicitando que seja aberta a mala do veculo,
tanto na entrada quanto na sada, estabelecer um tempo

105

para a permanncia do veculo no local e informar a central

de operaes para monitor-lo.
Empregados e representantes de empresas Operadores
Porturios
e
profissionais
liberais,
visitantes,
empregados, representantes de empresas contratadas ou
prestadores de servios de empresas instaladas na Zona
Primria do Porto
Manter contato com a central de operaes para conferir a
autorizao.
Caso no conste o nome da pessoa na relao de pessoas
autorizadas, orient-la para aguardar a autorizao e, se
estiver com veculo, estacionar o mesmo de forma a no
prejudicar o acesso de outros veculos, enquanto aguarda a
autorizao.
Inspecionar todo e qualquer veculo que conduza essas
pessoas, solicitando que seja aberta a mala do veculo,
tanto na entrada quanto na sada, estabelecer um tempo
para a permanncia do veculo no local e informar a central
de operaes para monitor-lo.
Donos de mercadorias
Exigir a solicitao do fiel depositrio e identific-lo como
sendo o proprietrio da mercadoria.
No caso de a pessoa a retirar a mercadoria no ser a que
conste na solicitao do fiel depositrio, exigir a
autorizao do proprietrio para retir-la. Nesse caso,
manter contato com a central de operaes para conferir o
procedimento.
Veculos de carga e autnomos
Verificar se o veculo est cadastrado, se o motorista est
autorizado e solicitar a apresentao da autorizao de
transporte emitida pela empresa proprietria do veculo,
ou da empresa instalada no porto, ou do operador
porturio.
Caso no conste o nome da pessoa na relao de pessoas
autorizadas, ou o veculo no esteja autorizado, manter
contato com a central de operaes e aguardar a
orientao para a autorizao ou no. Nesse caso, orientar

106

a pessoa para estacionar o veculo de forma a no

prejudicar o acesso de outros veculos.
Passageiros e tripulantes de veculos de transporte
coletivo
Verificar se o veculo est cadastrado e se os passageiros
esto autorizados.
Caso no haja autorizao, ou surgir algum outro problema
de identificao, manter contato com a central de
operaes e pedir prioridade para resolver a pendncia.
Nesse caso, orientar para o motorista estacionar o veculo
de forma a no prejudicar o acesso de outros veculos.
Determinar o local no qual o veculo ficar estacionado.
Mercadorias
Exigir a apresentao do documento fiscal, tanto na
entrada quanto na sada.

No exemplo acima, o auditor, alm de checar cada item do controle de

acesso, dever utilizar, no mnimo, os seguintes procedimentos de auditoria:
Exame fsico da documentao dos procedimentos que devem constar no
posto de acesso e dos equipamentos utilizados para o exerccio das
atividades, principalmente os alarmes e os equipamentos de comunicao.
Entrevistar o vigilante usando o questionrio, para identificar se o mesmo
conhece a sua misso, objetivos, atividades e procedimentos, inclusive nas
situaes de emergncia.
Observar as atividades para certificar se o guarda porturio exerce essas
atividades conforme os procedimentos estabelecidos. Nesses casos, faz-se
necessria a confirmao da central de operaes que dir se, durante o
perodo de exame, a pessoa, veculo ou carga que teve acesso ao terminal,
possua autorizao.
Realizar investigao minuciosa para identificar o motivo da no
conformidade encontrada no controle de acesso.
Efetuar exame dos registros auxiliares (livro de ocorrncias e pasta
com as autorizaes de encarregados de setor).
Observar (observao) e correlacionar (correlao) as informaes
obtidas para obter evidncias de auditoria.

107

108

3 AUDITORIAS ESPECIAIS EM INSTALAES PORTURIAS

Os pilares de um sistema de proteo so as normas e procedimentos,
os recursos humanos e a tecnologia, os quais sustentam um complexo
conjunto de aes destinadas manuteno da continuidade dos negcios,
mediante a preveno, deteco, resposta e recuperao de eventos danosos
segurana da organizao.
Esses eventos (riscos) so avaliados pela sua probabilidade e impacto,
e hierarquizados pela sua criticidade. Toda essa estrutura conduz a aes
estratgicas, tticas e operacionais, que so materializadas em um grande
sistema de proteo.
Esse sistema submete-se a critrios para alcanar determinado padro
de eficcia, cuja manuteno um grande desafio, face s mutaes do
ambiente de negcios e do contexto de segurana do Estado. A garantia do
padro de qualidade depende de aes de manuteno, anlise, avaliao e
exame dos controles.
Dentre essas aes, destaca-se a auditoria, que se apresenta como a
ferramenta para atingir os objetivos do to almejado padro internacional de
proteo para as instalaes porturias.
Como j foi apresentado, as auditorias bsicas em instalaes
porturias so as auditorias para o exame da avaliao de risco, do plano de
segurana, do controle de acesso e das atividades da guarda porturia.
Essas auditorias so fundamentais para a obteno e manuteno da
certificao internacional de proteo. Contudo, o desafio da manuteno
desse padro internacional contnuo e requer outros tipos de auditorias, que
so denominadas especiais, pois pela sua finalidade adquirem uma qualidade
indispensvel nesse rduo caminho.
As auditorias especiais detm um grande potencial na colaborao
para a melhoria da gesto do sistema de proteo, por atuar sobre reas que
demandam vigilncia permanente. Essas reas dizem respeito aos controles,
aos riscos e aos prestadores de servio de segurana.
Todas essas reas devem ser inspecionadas, monitoradas e avaliadas
por essas auditorias especiais, que devem ser direcionadas para a anlise GAP,

109

para o controle de riscos e para o exame dos fornecedores de servios de

vigilncia porturia.
Com base nessa premissa, este captulo apresenta trs outros tipos de
auditorias especiais, para que a comunidade da segurana porturia possa
empreg-los em benefcio da eficcia do sistema de proteo como um todo.

3.1 Auditoria para a anlise GAP

A anlise GAP44 um exame que objetiva verificar o nvel de proteo
atual e compar-lo com o nvel de proteo ideal (planejado). uma anlise
para saber o quanto se est distante do objetivo, ou seja, o quanto falta para
alcanar o padro estabelecido.
O objetivo especfico dessa auditoria realizar uma anlise dos
controles existentes, comparando-os com o padro estabelecido, para avaliar
o nvel de controle e atestar a sua conformidade (ou grau de conformidade),
ou demandar medidas de eliminao da lacuna existente.
A auditoria para a anlise GAP pode ser realizada tendo como base os
controles propriamente ditos, ou utilizando-se um modelo de maturidade de
controles com nveis previamente estabelecidos.
A anlise GAP que se baseia nos controles aplicveis realizada sobre
as normas de referncia, verificando os itens dessas normas e comparando-os
com os controles implementados.
Nessa verificao, o auditor dever relacionar os controles
implementados, por domnio, e confront-los com os da norma, analisando-os
para ver se atendem, no atendem, ou atendem com ressalvas, especificando
nas observaes quais os motivos da no conformidade com o padro
estabelecido, e sugerindo medidas que podero ser adotadas para atingir o
objetivo de controle, ou seja, as aes para suprir a lacuna entre o real
(controles implementados) e o padro estabelecido. Nesse tipo de anlise, a
aplicao dos testes sobre os controles de fundamental importncia.
Na anlise baseada em nveis de controle, realizado o exame sobre
uma classificao de referncia, no qual verificado em qual estgio de
44

O termo Gap vem do ingls e significa fenda, abertura, brecha, intervalo. Anlise GAP uma
anlise que objetiva fechar a brecha da segurana. Esse o significado que desejamos ao

110

controle se encontra a organizao em determinado setor, rea, atividade,

etc. Essa classificao de referncia apresenta estgios para a mensurao do
nvel de controle, e a ela pode ser dado o nome de nvel de maturidade, ou
modelo de maturidade.
A utilizao de um modelo de maturidade mostra organizao como
ela est em relao confiabilidade de seus controles, fornecendo-lhe uma
viso geral da avaliao dos controles. Esse modelo deve ser estabelecido pela
organizao, ou adotado por ela.
Uma dificuldade que pode ser encontrada no exame que utiliza nveis
de maturidade, tem relao com o critrio para o estabelecimento da
quantidade de nveis e com a forma de sua classificao por parte da
instalao porturia, ou seja, qual o critrio utilizado para a parametrizao do
estabelecimento do modelo adotado pela instalao porturia.
Na ausncia de um modelo estabelecido, e desejando-se realizar o
exame nesse parmetro, o auditor dever utilizar um modelo de maturidade
amplamente confivel no mercado, e aceito pela instalao porturia, ou
fundamentar o motivo da sua utilizao.
O IT Governance Institute (ITGI), por meio do Control Objectives for
Information and related Technology45 (COBIT), apresenta um modelo de
maturidade46 dividido em 5 (cinco) nveis: no-existente, inicial, repetvel,
definido, gerencivel e otimizado (COBIT 4.1, 2007).
O modelo genrico de maturidade COBIT assim definido47:
Nvel 0 (No existente): inexistncia de controles e procedimentos. O
gerenciamento de processos no aplicado por toda a organizao.
Nvel 1 (Inicial): os controles no so padronizados e so aplicados caso-acaso, por conhecimento individual ou por alguns membros da organizao.
Existe o reconhecimento da necessidade de controles, e o gerenciamento
desorganizado.

empregar o termo Anlise GAP.

45
O COBIT uma estrutura de trabalho desenvolvida para o gerenciamento de TI, com foco no
controle. As boas prticas do COBIT so um consenso entre os especialistas de todo o mundo.
Essas prticas so focadas mais nos controles e menos na execuo.
46
A abordagem do modelo de maturidade do COBIT derivada do modelo de maturidade do
Software Engineering Institute.
47
Traduo e adaptao feita pelo autor.

111

Nvel 2 (Repetvel): os processos so desenvolvidos para o estgio em que

procedimentos semelhantes so empregados para uma mesma tarefa. No
existem treinamentos formais e no existe comunicao dos procedimentospadro. Existe um alto grau de confiana no conhecimento individual. Erros
so provveis.
Nvel 3 (Definido): os processos, documentados e padronizados, so
comunicados por meio de treinamentos. Os processos no so sofisticados,
mas existem prticas. improvvel que desvios sejam detectados.
Nvel 4 (Gerenciado): os processos so monitorados e mensurveis. possvel
avaliar a conformidade e adotar aes para melhorar a eficcia. Os processos
esto em constante melhoria e fornecem boas prticas. Ferramentas e
automao so utilizadas de modo fragmentado.
Nvel 5 (Otimizado): os processos so definidos no nvel de boas prticas,
baseados nos resultados, na melhoria contnua e no modelo de maturidade,
com outros empreendimentos. A tecnologia da informao utilizada de
forma integrada para a automao do fluxo de trabalho, fornecendo
ferramentas que levam a melhoria da qualidade e eficcia e tornam o negcio
facilmente adaptvel.
Abaixo reproduzimos o modelo de maturidade para controle interno
apresentado no COBIT (COBIT 4.1, P.175).
Tabela: Modelo de maturidade para controle interno48
Nvel de
maturidade
0
(No existente)

Status do ambiente de controle

No existe reconhecimento da
necessidade de controle interno.
Controle no faz parte da cultura
e misso da organizao. Existe
alto risco de incidentes.
1
Existe algum reconhecimento da
(Inicial / Ad hoc) necessidade de controle interno.
A abordagem do risco e
requisitos de controle
desorganizada, sem
48

Traduo efetuada pelo autor.

112

Controles internos
No existe a inteno de avaliar a
necessidade de controle interno. Os
incidentes so lidados como surgem.

No existe conhecimento da
necessidade de avaliar o que
necessrio em termos de controle.
Quando desenvolvido, ad hoc
(apenas para caso especfico), e na

2
(Repetvel/
intuitivo)

3
(Processo
definido)

4
(Gerenciado e
mensurvel)

comunicao e monitoramento.
Deficincias no so
identificadas. Funcionrios no
tm conhecimento de suas
responsabilidades.
Existem controles, mas no so
documentados. Sua operao
depende do conhecimento e
motivao individual. Sua eficcia
no adequadamente avaliada.
Existe muita vulnerabilidade nos
controles e eles no so
adequadamente endereados. O
impacto pode ser severo. O
gerenciamento das aes para
questes de controle no
priorizado ou consistente. Os
funcionrios no conhecem as
suas responsabilidades.
Controles esto implementados
e documentados. A eficcia da
operao avaliada
periodicamente, e existe uma
mdia numrica e questes.
Entretanto, a avaliao do
processo no documentada. O
gerenciamento capaz para lidar
com mais casos de controle;
contudo, algumas
vulnerabilidades de controle
persistem e os impactos podem
ser severos. Empregados
conhecem suas
responsabilidades para
controles.
Existe um controle interno
efetivo e um ambiente de
gerenciamento de risco. Uma
avaliao formal e documentada
ocorre frequentemente. Muitos
controles so automatizados e
revisados regularmente. O

reao a incidentes significantes de

alto nvel. Avaliao endereada
apenas para o incidente atual.

Necessidade de avaliar o controle

ocorre apenas quando da necessidade
de selecionar processos para
determinar o nvel atual de
maturidade, o nvel a ser alcanado e a
lacuna (GAP) existente. Workshop
informal com gerentes e a equipe
envolvida no processo utilizada para
definir uma adequada abordagem dos
controles para o processo, e para
motivar a agregao da ao ao plano
de ao.

Os processos crticos so identificados

com base nos riscos. Uma anlise
detalhada desenvolvida para
identificar os requisitos de controle, a
causa da lacuna e desenvolver a
melhoria e as oportunidades.
Ferramentas e entrevistas so
utilizadas, em workshop, para dar
suporte anlise e garantir a avaliao
e a melhoria dos processos.

A criticidade dos processos definida

com o apoio e adeso dos
encarregados pelos principais
processos de negcios. A avaliao dos
requisitos de controle baseada na
poltica e maturidade atual dos
processos, seguindo uma anlise que

113

5
(Otimizado)

gerenciamento capaz de
detectar muitas questes de
controle, mas nem todas as
questes so rotineiramente
identificadas. Existe uma
abordagem consistente para
identificar as vulnerabilidades
nos controles. Uso limitado da
tecnologia para a automao dos
controles.
Uma ampla estrutura de risco e
programa de controle fornece
contnuo e efetivo controle e
resoluo de questes de risco.
Os controles internos e o
gerenciamento de risco so
integrados com uma estrutura
prtica, apoiado no
monitoramento automatizado,
em tempo real, com o registro
completo do monitoramento do
controle, do gerenciamento de
risco e da conformidade do
cumprimento. A avaliao do
controle contnua, baseada na
autoavaliao, na lacuna
existente e na anlise da raiz do
problema. Os funcionrios agem
proativamente e esto
envolvidos na melhoria dos
controles.

envolve os principais acionistas. O

registro dessas avaliaes claro e
obrigatrio. A melhoria das estratgias
apoiada em casos de negcios.
Desempenho e realizao so apoiados
nos resultados e monitorados
constantemente. O exame por
controles externos organizado
ocasionalmente.
Mudanas dos negcios consideram a
criticidade dos processos e cobrem
qualquer necessidade para reavaliar a
capacidade do processo de controle.
Os encarregados pelos processos
desenvolvem autoavaliaes
regularmente, para confirmar que os
controles esto no nvel de maturidade
correto e reunir as necessidades de
negcios, e eles consideram os
atributos da maturidade como a forma
de identificar o controle mais eficiente
e eficaz. A organizao realiza
benchmark com as melhores prticas
externas e mantm o controle interno
eficaz. Revises independentes so
realizadas nos processos crticos, para
garantir que os controles forneam o
nvel de maturidade desejado,
conforme o que foi planejado para o
trabalho.

Ao realizar o exame utilizando o modelo de maturidade, o auditor

deve observar todos os controles estabelecidos para a atividade e classificlos de acordo com o nvel encontrado. Trata-se de um mtodo mais simples,
mas que serve para dar uma ampla visibilidade avaliao dos controles, de
como est a lacuna entre o real e o padro estabelecido, e assim delinear o
planejamento das aes para melhorar o sistema de proteo.

114

A utilizao do modelo de maturidade para a anlise GAP no

representa que o padro ideal seja sempre o ltimo nvel, pois pode ocorrer
que o padro de controle para determinado setor ou atividade esteja
estabelecido num nvel intermedirio de maturidade, como, por exemplo, o
nvel 4.
Conforme foi visto, a auditoria para a anlise GAP um tipo de
auditoria especial que tem um grande potencial para agregar valor aos
negcios corporativos, uma vez que constitui uma ferramenta de avaliao,
controle e monitoramento das medidas de proteo de instalaes porturias,
para conformidade com o padro adotado pela Organizao Martima
Internacional (IMO).

3.2 Auditoria em fornecedores

Como sabemos, cada vez mais cresce a terceirizao de atividades
como manuteno, TI e segurana, por serem atividades especializadas. E o
setor porturio no difere dessa tendncia da terceirizao, principalmente
com relao segurana.
Em recente investigao realizada pela ONG Observatrio Social, foi
verificado que um pequeno fornecedor de matria-prima utilizava mo-deobra infantil, o que implicou o envolvimento de empresas como Basf, FaberCastel e Tintas Coral, por utilizar esse tipo de mo-de-obra na sua cadeia
produtiva. (HERZOG, 2005, p. 84-86).
certo que essas empresas no utilizavam crianas na sua produo
propriamente dita, mas tal fato trouxe grande preocupao para os seus
dirigentes e acionistas. Todas essas empresas monitoravam via satlite seus
fornecedores, e o processo seletivo desses fornecedores obedecia a critrios
de qualidade e segurana nos processos. Contudo, no realizavam auditorias
para a certificao de conformidade desses critrios.
compreensvel que empresas com muitos fornecedores deixem de
realizar auditorias neles por ser muito dispendioso, pois podem elevar o custo
da produo, tornando-os at proibitivos. Entretanto, o que deve ser feito o
estabelecimento de critrios para auditar os fornecedores que tm relao
com os principais processos de negcios e com seu envolvimento direto nas

115

medidas mitigadoras dos riscos, bem como influncia no impacto da

concretizao de um risco.
No contexto do ISPS Code, a manuteno do padro de segurana
exigido pela Organizao Martima Internacional demanda uma ateno
especial para com os fornecedores. Nesse sentido, deve ser dispensada
especial vigilncia s empresas terceirizadas prestadoras de servio de
segurana, que fornecem pessoal e equipamentos para a proteo das
instalaes porturias.
Os vigilantes so funcionrios das empresas de segurana privada, que
desempenham essas atividades especficas de proteo. So eles que realizam
o controle de acesso s instalaes porturias, efetuam rondas em reas
internas e externas, revistam pessoas, veculos e cargas, monitoram o
movimento por uma central eletrnica, dentre outras atividades que lhes so
inerentes. So pessoas que possuem formao e treinamento especficos
como condio para o exerccio da profisso. E essas qualidades tornam esse
tipo de servio cada vez mais especializado e procurado.
Por outro lado, as instalaes porturias necessitam do servio desses
profissionais pela sua conhecida qualidade e especialidade, bem como para
garantir o cumprimento de requisitos do padro de segurana estabelecido.
Nesse contexto, faz-se necessria uma ateno especfica sobre esses
funcionrios contratados para prestar servios de segurana.
Essa ateno no pode ser restrita fiscalizao, monitoramento e
controle das atividades desenvolvidas pelo vigilante. Deve tambm alcanar a
fiscalizao e o controle das empresas prestadoras desse servio, o que deve
ser feito mediante auditorias especiais, realizadas pela instalao porturia ou
em seu nome, para verificar os aspectos fundamentais da prestao desse
servio.
Essas auditorias se justificam pelo fato de o vigilante ser um dos
elementos principais (se no o principal) que interferem diretamente no
cumprimento dos controles estabelecidos para a segurana porturia. ele o
responsvel direto pelo cumprimento das normas em situaes usuais e
adversas, o que exige dele qualidades especficas em relao aos outros
integrantes do RH, pois uma falha sua poder interromper as atividades e
provocar um grande prejuzo, no s instalao porturia em que serve mas
tambm a todo um complexo porturio.

116

Por essas peculiaridades da rea porturia, que no s devem ser

fiscalizados os exerccios das atividades, como tambm os critrios de
seleo, e treinamento, dentre outros, para que se possa elevar o nvel de
qualidade desse servio.
Um detalhe que desperta a ateno para a necessidade dessas
auditorias que os contratos nesse segmento so contratos muito
significativos pelo seu valor, e bastante concorridos.
A experincia tem demonstrado que, na prtica, quando uma empresa
vencedora da disputa por um contrato desses, ela geralmente aproveita o
efetivo da substituda, trocando a farda e dando algumas orientaes sobre os
procedimentos da empresa. Alm disso, tambm, comum remanejar
vigilantes de outros setores (bancos, lojas, condomnios, etc.) para uma
atividade numa rea muito especfica, que a porturia.
Nesse contexto, entendemos ser necessrio um controle mais
especfico e pontual sobre os vigilantes e suas empresas, pois sabemos o
quanto vulnervel fiscalizar apenas o exerccio da atividade, sem o exame
dos critrios estabelecidos para a profisso e a sua constante capacitao.
O foco dessa auditoria deve recair sobre os critrios de contratao do
pessoal, incluindo-se a o perfil desejado, os tipos de testes efetuados para a
seleo e o acesso documentao, o curso de formao e a programao da
educao continuada, para que se possa ter um profissional que atenda s
exigncias das normas que regulamentam a profisso e que atendam,
igualmente, s exigncias internacionais de proteo da instalao porturia.
O requisito fundamental para a realizao dessas auditorias a sua
previso no contrato feito entre a instalao porturia e a empresa prestadora
do servio. No contrato, clusulas especficas devem dedicar-se auditoria,
sua periodicidade, os principais objetivos de controle e suas penalidades,
devendo ser ponto de quebra de contrato a no adoo de medidas
saneadoras das irregularidades encontradas pelas auditorias.
Essa clusula especfica gerar uma expectativa de melhoria contnua
nesses servios, uma vez que as empresas prestadoras estaro mais atentas a
essas exigncias, de modo a manter a conformidade no cumprimento do
contrato.
A necessidade de clusula especfica para que haja uma seleo
natural entre as empresas concorrentes, para que apenas empresas srias e

117

comprometidas com a segurana porturia venham a participar dessas

concorrncias.
Contudo, existe a necessidade de se identificar o que deve ser
auditado e os procedimentos de auditoria, para que no ocorra um excesso
por parte do auditor, e para que o seu exame seja limitado apenas s questes
relativas ao seu contrato, uma vez que essas empresas podem possuir outros
contratos.
Nesse sentido, essas auditorias devem estar direcionadas para a
verificao da conformidade da empresa com as exigncias de seu
funcionamento, para o exame da seleo, contratao, treinamento e
reciclagem do vigilante.
Essas auditorias devem ser peridicas. A primeira deve ser realizada
quando do incio da prestao do servio na instalao porturia. Tambm
devem ser includos em clusula contratuais alguns indicadores para a
realizao dessas auditorias.
As empresas de vigilncia e suas atividades so regulamentadas pelas
Leis de nmeros 7.102, de 20/06/83; 8.863, de 20/03/94 e 9.017, de 30/03/1995,
e pela Portaria 387, de 03/10/2006, do Departamento de Polcia Federal do
Ministrio da Justia.
A verificao da conformidade quanto a esses instrumentos
reguladores o ponto de partida, e pode ser atestada mediante a exigncia
de certido fornecida pelo rgo especfico da fiscalizao. Nessa
constatao, o auditor dever atentar para as datas de expedio e validade,
dados da empresa, conferindo as informaes com a Delegacia de Controle de
Segurana Privada, da Polcia Federal.
Depois, o auditor dever direcionar o seu exame para as seguintes
reas: seleo, formao e reciclagem, que so as principais reas de exame
do auditor, pois o foco est sobre o vigilante e a forma como a empresa o
contrata, assim como se mantm o programa de educao continuada.
Seleo
Para ser um vigilante, necessrio ser maior de 21 anos, ter a 4a srie
primria concluda, possuir carteira de trabalho, no ter antecedentes
criminais, e possuir o curso de formao de vigilantes, que realizado por
empresas especficas de formao de vigilantes.

118

Alm dessas exigncias, o candidato a vigilante realiza um exame de

sade fsica e mental e um exame psicotcnico, sem os quais no poder
frequentar o curso de formao.
Alm desses requisitos, o auditor dever verificar quais os critrios
estabelecidos pela empresa para contratar vigilantes, e se a empresa possui
um perfil definido para o exerccio de atividades no setor porturio.
Durante seu exame, o auditor dever verificar essas exigncias para a
seleo, checando toda a documentao que deve, tambm, incluir as
certides de antecedentes criminais nas esferas estadual, federal e militar,
bem como a certido criminal eleitoral.
Formao e reciclagem
O curso de formao de vigilantes regulamentado pela Portaria MJ
387, de 03/10/2006. um curso com 160 h/a, cuja mdia mnima de aprovao
cinco, com validade de 2 anos. A reciclagem do vigilante obrigatria e deve
ser realizada a cada 2 anos por empresa especializada em formar e reciclar
vigilantes. O curso de reciclagem possui uma carga horria de 30 h/a.
A verificao da documentao dos cursos deve ser feita nos arquivos,
ou na conferncia dos diplomas que so atestados pela Polcia Federal. Ali
podero ser encontrados os relatrios que as empresas de vigilantes e de
formao de vigilantes enviam, periodicamente, com informaes sobre
efetivo, armas, demitidos e admitidos e reciclagem de seus funcionrios.
recomendvel a aplicao de questionrios ou a realizao de
entrevistas com vigilantes para confirmar a realizao desses cursos e a sua
periodicidade. Nessa entrevista, o auditor poder incluir perguntas especficas
para constatar se o vigilante foi capacitado para exercer atividades no setor
porturio.
Com relao s empresas de formao e reciclagem de vigilantes,
entendemos que no se pode incluir em clusula contratual a previso de
auditorias nessas empresas, uma vez que no so partes integrantes da
relao contratual, a no ser que a prpria empresa possua um centro de
capacitao e formao prpria. Sabemos que a qualidade da formao
depende, em grande parte da qualidade do servio dessas empresas, e que
esses cursos podem ser ministrados de forma negligente e/ou fraudulenta.

119

Dessa forma, fundamental que o auditor solicite ao rgo

fiscalizador dessas empresas o tempo de atividade e a posio da regularidade
delas quanto a esses servios de formao e capacitao, a fim de atestar a
credibilidade dos certificados emitidos e avaliar se os vigilantes necessitam de
uma nova reciclagem, ou no.
Nos casos de evidncia de fraudes e fragilidades na formao e
reciclagem, o auditor dever aplicar testes de conformidade, tentar localizar a
empresa para averiguar o seu funcionamento, e fundamentar o seu parecer
juntando cpias da documentao do rgo fiscalizador e outros
documentos, e solicitando a ateno especfica para a realizao de novo
treinamento.
Como podemos concluir, a realizao dessas auditorias em empresas
terceirizadas so indispensveis para poderem contribuir no sistema
integrado de proteo e no gerenciamento de riscos, mantendo-as em
sintonia com os requisitos do padro internacional de proteo para as
instalaes porturias.

3.3 Auditoria para controle de riscos

Em cenrio de incertezas, as ameaas e oportunidades tm o potencial
de produzir perdas ou aumentar os resultados, desde que seja possvel gerir
melhor as incertezas e seus riscos, gerando valor ao otimizar as suas
oportunidades. Dessa forma empresas estabelecem estratgias para os
objetivos de crescimento e de controle sobre os riscos, em busca da
maximizao de seus resultados.
Na comunidade da segurana corporativa, os riscos49 so
compreendidos como condies que criam ou aumentam o potencial de
49

A norma ISO/IEC Guide 73:2002 define risco como a combinao da probabilidade de um

evento e suas consequncias. A probabilidade associada a um evento calculada para
determinado perodo de tempo, e definida como um nmero real na escala de 0 a 1, associado
a um evento aleatrio, que pode estar relacionado a uma frequncia de ocorrncia relativa de
longo prazo ou a um grau de confiana de que um evento ir ocorrer. Para um alto grau de
confiana, a probabilidade prxima de 1. Por evento deve ser entendida a ocorrncia de um
conjunto particular de circunstncias, podendo ser uma nica ocorrncia ou uma srie delas. A
probabilidade associada a um evento pode ser estimada por um dado perodo de tempo. A
consequncia deve ser entendida como o resultado de um evento.

120

perdas. Esse potencial medido pela possibilidade de um evento vir a

acontecer e produzir perdas reais. Tais eventos esto dentro do campo da
possibilidade de uma ameaa vir a se concretizar.
Segundo estudo realizado pela Deloitte (2005), 80% das companhias
que sofreram grandes perdas50 foram expostas a mais de um tipo de risco, e
muitas delas falharam ao gerenciar a relao entre esses vrios tipos de risco.
Esse estudo apontou a necessidade de as companhias implementarem
um gerenciamento de riscos integrado, com a finalidade de gerenciar as
interdependncias entre todos os riscos da empresa, uma vez que a maioria
das aes de tratamento de riscos, adotadas pelas empresas, so direcionadas
para os riscos estratgicos, o que pode aumentar a exposio de outros tipos
de risco como o operacional e o financeiro.
Em recente pesquisa realizada pela Ernst & Young com 400 executivos
em 16 pases, 67% deles afirmaram que o nvel de risco aumentou nos ltimos
dois anos, e 42% admitiram que as estratgias para o gerenciamento de risco
de suas companhias estavam repletas de flancos (HERZOG, 2005, p. 84-86).
Nesse contexto, a gesto de riscos assume um importante papel nas
corporaes como um todo, ao permitir que elas, cada vez mais, possam
reduzir as suas incertezas, prevenindo e reduzindo perdas, assegurando uma
gesto eficaz e eficiente sobre seus riscos.
O gerenciamento de riscos51 compreende as atividades coordenadas
para dirigir e controlar a organizao em relao aos riscos, e envolve o
conjunto de elementos do sistema de gerenciamento da organizao em
relao gesto de riscos. Esses elementos incluem o planejamento
estratgico, os tomadores de decises, e outros processos que lidam com
riscos (ISO/IEC Guide 73:2002). Trata-se de um processo contnuo, que envolve
todos os setores da corporao, e deve estar alinhado com o planejamento
estratgico, de modo a facilitar o alcance das metas e minimizar as surpresas e
eventuais perdas.
Por sua vez, as instalaes porturias, em ateno aos preceitos do
ISPS Code realizam avaliaes de proteo com base em riscos como condio
50

Essa pesquisa analisou as maiores quedas no preo das aes das 1000 maiores companhias
internacionais do mercado de valor, entre 1994 e 2003.
51
De acordo com a ISO/IEC Guide 73:2002, o gerenciamento de riscos envolve as seguintes
etapas: avaliao de riscos, tratamento do risco, a aceitao do risco e a comunicao do risco.

121

para a elaborao dos seus planos de segurana porturia. Essas avaliaes

culminam nas medidas para o tratamento do risco.
Os objetivos do tratamento de riscos52 so eliminar os riscos que
podem ser eliminados, baixar o nvel dos riscos que no podem ser eliminados
para um nvel menor e com o mnimo de danos para a organizao, e transferir
o risco, ou parte desse risco, que no pode ser tratado.
As aes para evitar o risco, como a enunciao j sugere, so todas as
medidas adotadas para evitar que um risco venha a ser concretizado, e essas
medidas esto representadas nas polticas e procedimentos da organizao.
A otimizao do risco o processo que envolve as medidas destinadas
a reduzir a probabilidade de consequncias negativas relacionadas com os
riscos. Essas medidas so concretizadas com o tratamento dos riscos, a fim de
limitar qualquer consequncia negativa para a organizao. A otimizao traz
um resultado intrnseco de credibilidade para os negcios, que a valorizao
da imagem da organizao. uma das consequncias positivas do tratamento
do risco para fortalecer a imagem da organizao no mercado.
A transferncia do risco a diviso com a outra parte do peso de
perdas de um risco. caracterizada nas aplices de seguro, em que o peso da
perda minimizado com o pagamento do prmio do seguro, que de valor
bem menor do que os ativos envolvidos.
A reteno do risco a aceitao da carga da perda de um risco
especfico. Geralmente feita em riscos de pequeno impacto.
Como vimos, o tratamento do risco identifica, analisa e avalia as
opes para cada classe de risco, de modo a preparar e implementar medidas
de preveno, deteco, resposta, recuperao e continuidade dos negcios.
A garantia da eficcia das aes para o tratamento do risco dada
mediante a auditoria para o controle de riscos, cuja verificao e exame so
efetuados sobre as medidas de mitigao, deteco e monitoramento dos
riscos, com o objetivo de controle e avaliao dessas medidas, para garantir o
gerenciamento sobre os riscos, mantendo as instalaes seguras e
contribuindo para melhorar o sistema de proteo das instalaes porturias.

52

O tratamento de riscos compreende as aes para evitar, otimizar, transferir e reter o risco
(ISO Guide 73:2002).

122

Essa auditoria tambm serve para indicar a necessidade de realizao de nova

avaliao de riscos.
A importncia dessa auditoria53 para as instalaes porturias se dar
pelas aes vigilantes e controle permanente sobre todas as medidas
identificadas e implementadas para manter os riscos nos nveis aceitveis,
garantindo o padro de segurana estabelecido pelo ISPS Code.
Os critrios para essa auditoria devem estar diretamente relacionados
com a criticidade dos riscos, que normalmente so classificados com base em
parmetros previamente estabelecidos pela organizao.
uma auditoria estratgica e de extrema importncia para o
gerenciamento dos riscos, e tem como especial peculiaridade exigir uma
grande habilidade do auditor para compreender o sistema de gerenciamento
e entender o risco, a fim de realizar uma auditoria eficiente e eficaz.
Para entender o risco, faz-se necessrio identificar sua origem e
entender o seu porqu, ou seja, quais os seus principais fatores motivadores,
pois, para que haja um bom gerenciamento de riscos, faz-se mister
identificar e compreender seus principais fatores motivadores. E essa
compreenso pode ser feita por categorias de riscos.54
Riscos naturais
Para os riscos decorrentes de ameaas naturais (eventos da natureza),
dependendo do potencial do evento, pode parecer difcil se conseguir uma
proteo eficaz, mas, sabendo-se que tais eventos so comuns em
determinada regio, torna-se mais fcil adotar aes planejadas para prevenir
os impactos e para a recuperao do desastre. Nesse tipo de risco , em

53

A auditoria da avaliao de riscos difere da auditoria para o controle de riscos. A primeira

objetiva verificar o processo de avaliao de riscos, e a segunda tem como objetivo as medidas
de controle dos riscos.
54

A nossa opo para o estabelecimento de categorias de riscos feita com base na origem das
ameaas e vulnerabilidades. Os riscos classificados como naturais (incontrolveis) so os
decorrentes de fenmenos da natureza; os involuntrios (tcnicos, organizacionais e humanos)
so os resultantes de aes no intencionais, relacionados com vulnerabilidades humanas,
fsicas, nos equipamentos, nos processos, de software, nos meios de armazenamento, nas
comunicaes, etc.; e os intencionais so aqueles decorrentes de aes deliberadas para
causarem danos, e estariam relacionados com a origem humana.

123

especial, difcil a identificao do seu porqu; contudo, alguns fatores devem

ser considerados com relao a eles, tais como:
1A rea em que a empresa est instalada est sujeita a fenmenos da
natureza de propores catastrficas;
2Falta de acompanhamento de boletins meteorolgicos;
3O material empregado na construo de baixa resistncia;
4O equipamento de preveno a sinistros no tem inspeo peridica e
de m qualidade;
5Ausncia de plano de recuperao de desastres e de continuidade dos
negcios;
6Falta de treinamento em aes contingenciais.
Riscos involuntrios
Para os riscos involuntrios, a identificao mais fcil, uma vez que
esses riscos esto relacionados com vulnerabilidades, principalmente fsicas e
humanas, e geralmente ocorrem por algum tipo de falha. Contudo, alguns
fatores devem ser considerados em relao aos riscos involuntrios, tais
como:
1Falha nos equipamentos de preveno e deteco;
2Descumprimento de normas para guarda, transporte e manuseio de
material inflamvel;
3Material de fcil combusto empregado na construo;
4Equipamentos ligados durante 24 horas;
5Ausncia de treinamento em medidas contingenciais;
6Inexistncia de processos de qualidade;
7Inexistncia de controles internos;
8Inexistncia de programa de capacitao continuada;
9Cultura organizacional.
Riscos intencionais
J para os riscos intencionais, os fatores motivadores, geralmente,
esto diretamente relacionados com o tipo de negcio, tipo de produto, tipo
de mercado, localizao geogrfica, com o sistema de controle interno e o
nvel de segurana existente. Ele ocorre pela explorao intencional de um
agente ao perceber alguma falha no sistema de proteo da empresa.

124

Observe-se que o que se est tentando identificar , alm da origem

do risco, o porqu da ao de pessoas alheias e o motivo dela, seja qual for o
interesse, para atentar contra uma instituio ou pessoas. Essa anlise pontual
est relacionada com a percepo do empresrio, funcionrios, pessoas da
organizao em geral, colaboradores (consultor em segurana), auditores,
e/ou da equipe de gerenciamento de riscos, para entender que o seu ativo
desperta interesse em terceiros, que, por meio de uma ao inoportuna e
intencional, tentam provocar algum dano.
Um ataque no pode ser apenas observado na sua origem, mas do
foco do que de interessante existe nos negcios que fez com que aquele
ataque tenha ocorrido, ou possa vir a ocorrer. No o fato da m utilizao do
sistema, mas sim, do porqu de aquele funcionrio ter utilizado o sistema para
realizar aquele objetivo. identificar que pressupostos levaram aquela pessoa
a cometer aquela ao, o que poder impulsionar algum a cometer
determinada ao contra a empresa.
O foco dessa anlise est na identificao dos principais pressupostos
do agente causador do dano. Contudo, alguns fatores devem ser
considerados com relao aos riscos intencionais, tais como:
1A atratividade do produto e sua fcil receptao no mercado paralelo;
2A situao da criminalidade na regio em que a empresa est
instalada;
3A sensao de impunidade;
4O pagamento efetuado, em espcie, aos funcionrios da empresa;
5Os funcionrios que esto insatisfeitos com os salrios em atraso e
sem perspectiva de continuidade no emprego;
6Os movimentos reinvidicatrios, como as paralisaes pontuais e
greves gerais;
7Mercado altamente competitivo.
Para que os riscos venham a se concretizar, esses fatores devem estar
atrelados a uma ou mais vulnerabilidades. Entretanto, no caso especfico
desse tipo de auditoria, o auditor deve ter conscincia de que o negcio da
instalao porturia desperta o interesse de pessoas inescrupulosas e,
portanto, deve ter medidas de controle para ser protegido. Essa capacidade
de compreenso (negcios, misses, ativos corporativos e risco) que trar
uma melhor eficcia para a auditoria como um todo.

125

Observe-se a importncia dessa percepo, uma vez que ela uma

pea-chave dentro do contexto de abordagem mais ampla do tratamento
devido aos riscos. Alm de estar relacionada com a origem do risco, essa
percepo abrange tambm o que poder motivar a ocorrncia de um risco
para a instalao porturia.55
Outro fator importante para a auditoria com relao criticidade dos
56
riscos , que normalmente so classificados com base em parmetros
previamente estabelecidos pela organizao. Essa classificao geralmente
varia entre trs e quatro classes, e est relacionada metodologia empregada
para a avaliao e anlise dos riscos.
A classificao mais comum baseada na combinao da
probabilidade com seu impacto, justamente os fatores que representam o
risco. Nesse tipo de classificao, os riscos so segregados em categorias
como alto, mdio e baixo. Alguns especialistas em gesto de riscos fazem
opo por at mais duas categorias de riscos, para tornar melhor a tabela do
ranking dos riscos, e ter uma compreenso mais apurada da importncia das
medidas de controle.
Para os riscos classificados como muito altos (alta probabilidade de
ocorrncia e alto impacto), as aes para tratar esses riscos devem estar
enfocadas na preveno e deteco, objetivando elimin-los ou evit-los, alm
de poder transferir aqueles que no puderem ser tratados ou que mesmo
podendo ser tratados, so transferidos mediante aplices de seguro por
terem a capacidade de impacto muito elevado.
Para os riscos classificados como altos (alto impacto e baixa
probabilidade), as medidas devem ser focadas na preveno, principalmente
na implantao das medidas de segurana e na capacitao dos recursos
humanos da organizao.
Para os riscos classificados como moderados e/ou baixos (baixo
impacto e alta probabilidade), as aes devem ser focadas no controle do
55

A auditoria para o controle de riscos exige do auditor essa qualidade. Essa capacidade de
compreenso lhe possibilitar avaliar se essas medidas atendem finalidade para a qual foram
estabelecidas.
56
A criticidade dos riscos pode ser classificada de vrias maneiras, como, por exemplo: com
base no tempo de recuperao, com base no impacto, ou simplesmente por categorias, como
estratgico, financeiro, operacional e externo.

126

risco. Nessa classe de risco, particularmente, um controle mal empregado

pode elevar o risco para a classe mais elevada. uma categoria de risco que,
por ter uma avaliao de baixo impacto, s vezes, a sua preveno fica
reduzida a ferramentas tecnolgicas, excluindo-se o fator humano, o que
poder comprometer a eficcia da medida de tratamento para o risco.
Para os riscos classificados como muito baixos (baixo impacto e baixa
probabilidade), os controles so estabelecidos tendo como parmetro o valor
financeiro do possvel dano, e geralmente so monitorados por equipamento
de proteo, ou atividades rotineiras, ou so aceitos pela organizao.
Os riscos que mais desafiam os negcios, segundo levantamento da
The Economist Intelligence Unit, realizado com 269 executivos de empresas
globais, foram, por ordem de prioridade: 1- Reputao: ameaas imagem de
produtos ou marcas; 2- Regulatrio: desrespeito legislao; 3- Capital
humano: escassez de talentos e turbulncias na sucesso; 4- Tecnologia:
falhas operacionais e no sistema de segurana; 5- Mercado: desvalorizao
dos ativos; 6- Crdito: inadimplncia dos clientes; 7- Pas: desafios especficos
de uma regio; 8- Financiamento: dificuldade de obter crdito; 9- Terrorismo;
e 10- Desastres naturais (HERZOG, 2005, p. 84-86).
Especial ateno deve ser dispensada aos riscos de baixa
probabilidade e alto impacto. s vezes, por serem praticamente descartados,
quando ocorrem, esses riscos pegam a organizao totalmente despreparada
para aes contingenciais, o que pode interromper, definitivamente, as
atividades da instalao porturia. Geralmente eles so negligenciados e tm
o potencial de destruir o valor da empresa.
Outro aspecto importante para a auditoria tem relao com o
inventrio de segurana e risco (se houver), que um documento no qual a
instalao porturia relaciona o produto, as atividades, os riscos relacionados,
as medidas de proteo e outras informaes importantes para esse tipo de
auditoria. Juntamente com as medidas estabelecidas no estudo dos riscos,
esse inventrio dever fazer parte dos documentos-base para o incio da
auditoria.
De posse do inventrio de risco (se houver) e das medidas
estabelecidas no estudo do risco (avaliao de riscos), o auditor estabelecer
o roteiro para o seu exame, considerando os riscos pela sua criticidade,
devendo dar ateno especfica queles cujos controles estejam

127

exclusivamente sob as atividades humanas, no excluindo, tambm, os de

baixa probabilidade. Neste ltimo caso, mesmo que o estudo do risco tenha
praticamente descartado o risco, deve o auditor observar os cenrios de
riscos (incidentes) estabelecidos no ISPS Code.
O exame do auditor deve ser minucioso, analisando os registros de
eventos, suas consequncias e aes de resposta, observando o tempo
demandado para a total recuperao. A verificao das medidas mitigadoras
deve ser feita in loco, com a constatao de equipamentos e apetrechos, e
mediante entrevista com pessoal envolvido na atividade de risco e na
proteo da instalao porturia.
As no conformidades devem ser relacionadas, acrescentando seus
possveis impactos, e declinando um prazo para a sua correo, ou aceitao
do risco.
Como podemos concluir, a auditoria para o controle de riscos uma
auditoria especial e de fundamental importncia para a manuteno de um
gerenciamento de riscos eficiente e eficaz, e como garantia da manuteno
do padro internacional de proteo das instalaes porturias.

128

4 CHECKLIST
O Checklist, ou lista de verificao, um roteiro para a auditoria. um
papel de trabalho que auxilia o auditor na verificao das conformidades.
considerado uma ferramenta de trabalho fundamental para o sucesso de uma
auditoria.
O Checklist deve ser elaborado com base nos documentos de
referncia, requisitos normativos e relatrios57 de auditorias j realizadas,
acrescido de aspectos que o auditor entenda ser interessantes e necessrios,
de acordo com as informaes coletadas na fase preparatria, quando da
visita prvia e do levantamento realizado nos registros de auditorias passadas
e outros documentos.
Quando, por motivos alheios vontade do auditor, no seja possvel
realizar uma visita prvia, nem realizar a anlise crtica dos documentos antes
do incio da auditoria, o auditor deve dedicar uma ateno especial
elaborao das listas de verificaes.
A elaborao das listas de verificaes uma atividade que requer
dedicao e muita ateno aos detalhes. Nos captulos anteriores deste livro,
foi dada nfase aos principais itens que deveriam ser examinados nas
auditorias em instalaes porturias. Esses itens, devem necessariamente
constar da listas de verificao do auditor, sendo acrescentados os itens que
ele considera necessrios e indispensveis para o seu exame.
Contudo, sabemos que a elaborao dos checklist no tarefa das
mais simples. Dessa forma, dentre os vrios modelos pesquisados, analisados
e utilizados, verificamos que dois mtodos predominam na elaborao dessas
listas de verificao.
Um deles a elaborao do Checklist seguindo cada item da norma de
referncia. Nesse mtodo, os itens da norma so transformados em
perguntas, ou simplesmente reproduzi-los, conforme a prpria norma de
referncia. um mtodo mais rgido e limitado, predominando nas auditorias
de certificao, quando da verificao de requisitos normativos.
O outro mtodo a elaborao dessas listas com base no apenas nos
domnios das normas de referncia, mas tambm na liberdade do auditor em
57

No exame desses relatrios, a ateno deve estar direcionada para s no-conformidades.

129

acrescentar itens de verificaes que entender necessrios ao exame do

controle, para ter a certeza da constatao da conformidade do item
auditado. um mtodo mais flexvel e de excelente resultado nas auditorias
operacionais, principalmente quando da verificao de conformidade.
Um outro mtodo que identificamos a elaborao do checklist com
base na compreenso do sistema de controle, em que o auditor elabora a sua
lista de verificao baseando-se na finalidade do controle, ou no domnio de
controle, e em possveis brechas de vulnerabilidades. um mtodo
alternativo, que auxilia o auditor nas verificaes operacionais e de excelente
utilizao nas auditorias especiais, e na avaliao da eficcia.
Todos os mtodos tm suas caractersticas e benefcios. Contudo, de
maneira geral, as principais vantagens de um checklist so: roteiro para
auditar, foco nos controles, economia de tempo, seqncia lgica (com ou
sem perguntas) e registro para as auditorias futuras.
Considerando a finalidade didtica desse livro e para uma melhor
abordagem dos mtodos de elaborao das listas de verificao,
apresentaremos a seguir exemplos de listas de verificao baseadas nesses
mtodos.
Ateno especial deve ser dada aos modelos apresentados, devendose observar que no sero esgotadas as possibilidades de novos itens para
compor as listas de verificao apresentadas.

4.1 Checklist 1
Iniciaremos pelo mtodo mais rgido, que o da elaborao do
checklist com base na reproduo, na ntegra, dos tpicos da norma.
O modelo a seguir apresenta a seguinte estrutura58: identificao do
documento, identificao da instalao porturia, nome do auditor, data da
auditoria, como parte constante do cabealho. No corpo das verificaes, na
coluna (A) deve constar a norma de referncia; na coluna (B) devem ser
colocados os itens da norma de referncia; na coluna verificao (C) devem
ser colocados os itens a ser verificados; na coluna resultados (D) devem ser
colocados os comentrios que o auditor considere importantes e as
58

A estrutura apresentada uma sugesto do autor.

130

conformidades; na coluna (E) deve ser identificado que domnio est sendo
auditado.
CHECKLIST
INSTALAO PORTURIA:
AUDITORIA DATA:
AUDITOR NOME:
AUDITORIA CHECKLIST- ISPS Code- Parte A (A)
REFERNCIA (B)
VERIFICAO (C)
RESULTADOS (D)
Norma
Comentrios
Conformidade
(E)

Neste exemplo, utilizaremos a parte A, item 16 do ISPS Code, que se

refere ao plano de proteo das instalaes porturias. Para facilitar a
compreenso, reproduzimo-nos abaixo:
Exemplo: Item 16 do ISPS Code (plano de proteo das instalaes
porturias)
16.1. Um plano de proteo das instalaes porturias,
adequado para a interface navio/porto, dever ser elaborado
e mantido, com base em uma avaliao de proteo das
instalaes porturias, para cada instalao porturia. O
plano dever incluir disposies relativas aos trs nveis de
proteo, conforme previsto nesta Parte do Cdigo.
16.1.1. Sujeito s disposies da seo 16.2, uma organizao
de proteo reconhecida poder preparar o plano de
proteo das instalaes porturias de uma determinada
instalao porturia.
16.2. O plano de proteo das instalaes porturias dever
ser aprovado pelo Governo Contratante em cujo territrio a
instalao porturia esteja localizada.
16.3. Este plano dever ser elaborado levando em conta as
diretrizes constantes da parte B deste Cdigo e dever ser
redigido no idioma de trabalho da instalao porturia. O
plano dever cobrir, pelo menos, o seguinte:

131

1. medidas para prevenir que armas, substncias perigosas e

dispositivos destinados ao uso contra pessoas, navios ou
portos, e cujo transporte no seja autorizado, sejam
introduzidos em uma instalao porturia ou a bordo de um
navio;
2. medidas para prevenir o acesso no autorizado a
instalaes porturias, a navios atracados nestas instalaes
e a reas de acesso restrito das instalaes porturias;
3. procedimentos para responder a ameaas de proteo e a
violaes da proteo, incluindo disposies relativas
manuteno de operaes crticas da instalao porturia ou
da interface navio/porto;
4. procedimentos para atender a quaisquer instrues de
proteo que os Governos Contratantes, em cujo territrio a
instalao porturia esteja localizada, possam dar para o
nvel 3 de proteo;
5. procedimentos para evacuao no caso de ameaas de
proteo ou de violaes da proteo;
6. deveres do pessoal das instalaes porturias com
responsabilidades de proteo e deveres de qualquer outro
pessoal das instalaes porturias relativos a aspectos de
proteo;
7. procedimentos para a interface com atividades de
proteo do navio;
8. procedimentos para a reviso peridica e atualizao do
plano;
9. procedimentos para reportar incidentes de proteo;
10. identificao do funcionrio de proteo das instalaes
porturias, incluindo informaes para contato 24 horas;
11. medidas para assegurar a proteo das informaes
contidas no plano;
12. medidas desenvolvidas para assegurar a proteo efetiva
da carga e dos equipamentos de manuseio de carga na
instalao porturia;
13. procedimentos para auditar o plano de proteo das
instalaes porturias;

132

14. procedimentos para responder caso o sistema de alarme

de proteo de um navio localizado na instalao porturia
tenha sido ativado; e
15. procedimentos para facilitar a licena em terra para o
pessoal de bordo ou para mudanas de pessoal, bem como
para facilitar o acesso de visitantes ao navio, incluindo
representantes de organizaes trabalhistas e de instalaes
para o bem-estar de martimos;
16.3.1. O pessoal que estiver conduzindo auditorias internas
das atividades de proteo especificadas no plano ou estiver
avaliando a sua implementao dever ser independente das
atividades auditadas, a menos que isto seja impraticvel
devido ao tamanho e natureza da instalao porturia.
16.4. O plano de proteo das instalaes porturias poder
ser combinado ou ser parte do plano de proteo do porto
ou de quaisquer outros planos de emergncia do porto.
16.5. O Governo Contratante em cujo territrio a instalao
porturia esteja localizada dever determinar quais
alteraes ao plano de proteo das instalaes porturias
no devero ser implementadas a menos que as emendas
relevantes ao plano sejam por ele aprovadas.
16.6. O plano poder ser mantido em formato eletrnico.
Neste caso, dever ser protegido atravs de procedimentos
destinados a prevenir a sua eliminao, destruio, ou
emenda no autorizada.
16.7. O plano dever ser protegido contra o acesso ou
divulgao no autorizada.
16.8. Os Governos Contratantes podero permitir que um
plano de proteo das instalaes porturias cubra mais de
uma instalao porturia se o operador, a localizao, a
operao, os equipamentos e o projeto destas instalaes
porturias forem semelhantes. Qualquer Governo
Contratante que permita tal procedimento alternativo
dever comunicar Organizao os detalhes do mesmo.

133

AUDITORIA CHECKLIST- ISPS Code- Parte A59

Norma
VERIFICAO

RESULTADOS
Comentrios Conformidade

INSTALAES PORTURIAS
16
PLANO DE PROTEO DAS INSTALAES PORTURIAS
16.1
Existncia de um plano de proteo das instalaes
porturias adequado para a interface navio/porto.
Plano elaborado e mantido com base em uma
avaliao de proteo das instalaes porturias
para cada instalao porturia.
Identificao de trs nveis de proteo e suas
disposies.
Elaborao do Plano de proteo por organizao
reconhecida.
16.2
O plano de proteo das instalaes porturias
aprovado pelo Governo Contratante do territrio
onde a instalao porturia est localizada.
16.3

59

Identificao, no plano, de diretrizes constantes da

parte B do ISPS Code.
Identificao do idioma do plano e do idioma de
trabalho da instalao porturia.
Identificao no plano de:
1.
medidas para prevenir que armas,
substncias perigosas e dispositivos
destinados ao uso contra pessoas, navios
ou portos, e cujo transporte no seja
autorizado, sejam introduzidos em uma
instalao porturia ou a bordo de um
navio;
2.
medidas para prevenir o acesso no
autorizado a instalaes porturias, a
navios atracados nessas instalaes e a
reas de acesso restrito das instalaes
porturias;

Cdigo Internacional para a proteo de navios e instalaes porturias (ISPS Code). A parte A
do cdigo dispe sobre os requisitos obrigatrios das disposies do captulo XI-2 SOLAS 74.

134

3.

4.

5.

6.

7.

8.

9.

10.
11.

procedimentos para responder a ameaas

de proteo e a violaes da proteo,
incluindo
disposies
relativas

manuteno de operaes crticas da

instalao porturia ou da interface
navio/porto;
procedimentos para atender a quaisquer
instrues de proteo que os governos
contratantes, em cujo territrio a
instalao porturia esteja localizada,
possam dar para o nvel 3 de proteo;
procedimentos para evacuao no caso
de ameaas de proteo ou de violaes
da proteo;
deveres do pessoal das instalaes
porturias com responsabilidades de
proteo e deveres de qualquer outro
pessoal das instalaes porturias
relativos a aspectos de proteo;
procedimentos para a interface com
atividades
de
proteo
do
navio;procedimentos para a reviso
peridica
e
atualizao
do
plano;procedimentos
para
reportar
incidentes de proteo;
identificao do funcionrio de proteo
das instalaes porturias, incluindo
informaes para contato durante 24
horas;
medidas para assegurar a proteo das
informaes contidas no plano; medidas
desenvolvidas para assegurar a proteo
efetiva da carga e dos equipamentos de
manuseio de carga na instalao
porturia;
procedimentos para auditar o plano de
proteo das instalaes porturias;
procedimentos para responder caso o
sistema de alarme de proteo de um
navio localizado na instalao porturia
tenha sido ativado; e

135

12.

16.3.1

16.4

16.5

16.6

16.7
16.8

para facilitar a licena em terra para o

pessoal de bordo ou para mudanas de
pessoal, bem como para facilitar o
acesso de visitantes ao navio, incluindo
representantes
de
organizaes
trabalhistas e de instalaes para o bemestar de martimos;
Identificao da independncia das atividades do
pessoal de auditoria interna das atividades
auditadas.
Integrao e combinao do plano de proteo
das instalaes porturias com outros planos do
porto.
Identificao de restries s alteraes do plano
pelo governo contratante em cujo territrio a
instalao porturia esteja localizada.
Existncia de protees para plano em formato
eletrnico, para prevenir a sua eliminao,
destruio ou emenda no autorizada.
Identificao da existncia de proteo do plano
contra o acesso ou divulgao no autorizada.
Existncia de
permisso dos governos
contratantes para a cobertura do plano de
proteo das instalaes porturias para mais de
uma instalao porturia.

Como podemos analisar, a elaborao da lista contempla os pontos da

norma de referncia, em ordem cronolgica, item por item.

4.2 Checklist 2
O modelo que apresentaremos nesse tpico caracteriza-se pelo fato
de a lista de verificao ser construda com base em perguntas, no se
limitando aos itens da norma.
O modelo apresenta a seguinte estrutura60: identificao do
documento, identificao da instalao porturia, nome do auditor, data da
60

A estrutura apresentada uma sugesto do autor.

136

auditoria, norma de referncia, como parte constante do cabealho. No corpo

das verificaes, deve constar que parte da norma est sendo verificada (A);
descriminar cada item da verificao na coluna item (B); na coluna verificao
deve ser aposto cada item a ser verificado (C); nas colunas de atende (D), no
atende (E) e no-observado (F), o que for constatado.
CHECKLIST
INSTALAO PORTURIA:
NOME AUDITOR:
REFERNCIA: ISPS Code- Parte A
(A) O QUE EST SENDO VERIFICADO
ITEM VERIFICAO
(B)

(C)

AUDITORIA DATA:

SIM

NO NO

(D)

(E)

(F)

OBS: A coluna item (B) pode ser dividida em duas colunas, uma para o item da
auditoria e outra para o item de referncia da norma. opcional e no influencia
diretamente no resultado da auditoria.

Para efeito didtico e de comparao entre esses dois modelos,

utilizaremos os mesmos itens do tpico anterior (ISPS Code, parte A, item 16).

PLANO DE PROTEO DAS INSTALAES PORTURIAS

ITEM VERIFICAO
SIM
1
A instalao possui um plano de proteo atual?
Data do plano ____/____/____
Data da ltima reviso ____/____/____
2
O plano foi elaborado com base em avaliao de
proteo das instalaes porturias?
Data da avaliao ____/____/____
3
Os trs nveis de proteo esto definidos no plano?
4
O plano foi elaborado por organizao reconhecida?
5
O plano foi aprovado pelo governo contratante?
Data da aprovao ____/____/____
6
O plano foi redigido no idioma de trabalho da regio em
que a instalao porturia est localizada?
7
O plano fornece as medidas e os equipamentos

NO N/A

137

8
9

10
10.1
10.2
10.3
10.4
10.5
10.6
10.7
10.8
11
12

13

14
15

16

138

necessrios para prevenir a entrada de armas e

equipamentos perigosos nas instalaes e s
embarcaes ancoradas?
O plano estabelece medidas para prevenir o acesso no
autorizado s instalaes e embarcaes ancoradas?
O plano descreve procedimentos para responder a
ameaas de proteo e a violaes da proteo,
incluindo operaes crticas da instalao ou interface
navio/porto?
O plano inclui procedimentos que devem ser includos,
especificamente, nos casos de:
Ameaa terrorista ou de bomba?
Exploso ou detonao?
Fogo nas instalaes ou nas embarcaes ancoradas na
instalao?
Desastres naturais?
Situao que envolvem refns?
Distrbios civis/ greve de funcionrios?
Desastres naturais?
Procedimentos de evacuao de emergncia?
O plano descreve exatamente as medidas de proteo e
do uso da fora?
O plano prev procedimentos para atender a quaisquer
instrues do governo contratante, para o nvel 3 de
proteo?
O plano inclui procedimentos para obter assistncia e
suporte da aplicao da lei, unidades federal, estadual e
municipal de combate ao fogo, ameaa de bomba e
desastres naturais?
O plano possui procedimentos para reportar incidentes
de proteo?
O plano possui a descrio das responsabilidades do
pessoal de proteo das instalaes e de seus
funcionrios com relao aos aspectos de proteo?
O plano possui cadastro atualizado do pessoal de
proteo com procedimentos para contato durante 24
horas?

17
18
19
20
21
22
23

24
25

26
27
28
29
30

O plano estabelece mecanismo para o reconhecimento

de todas as pessoas do trabalho, inclusive seus nomes?
O plano estabelece medidas para a avaliao de
funcionrios antes da sua contratao?
O plano possui medidas que assegurem a proteo das
informaes do plano?
O plano possui medidas para proteger a carga e seu
manuseio na instalao porturia?
O plano estabelece procedimentos para a realizao de
auditorias?
O plano descreve procedimentos para responder aos
sinais de alarme dos navios na instalao porturia?
O plano descreve procedimentos para facilitar a licena
em terra para o pessoal de bordo ou para mudanas de
pessoal, bem como para facilitar o acesso de visitantes
ao navio, incluindo representantes de organizaes
trabalhistas e de instalaes para o bem-estar de
martimos?
O plano combinado com parte de outro plano de
proteo de outra instalao porturia?
O plano possui uma planta com todos os pontos de
acesso, reas de trabalho, reas de armazns, de
carregamento de cargas, devidamente identificados?
O plano possui procedimentos que permitam o contato
com as pessoas do trabalho?
O plano possui procedimentos para sua reviso
peridica e atualizao?
O plano estabelece mecanismo para o reconhecimento
de todas as pessoas do trabalho, inclusive seus nomes?
O plano estabelece medidas para a avaliao de
funcionrios antes da sua contratao?
O plano possui medidas para serem adotadas nos casos
de levantamento de risco?

Como podemos observar, a elaborao da lista contempla todos os

pontos da norma de referncia; contudo, pode ser verificado que foram

139

includos itens que no estavam constando na norma de referncia, como o

desdobramento do item 10 da lista acima.
Este desdobramento tem como objetivo o de fornecer ao auditor a
certeza de que determinado controle apresenta evidncias de auditoria, ou
seja, est em conformidade com o estabelecido, est implementado e est
sendo cumprido.

4.3 Checklist 3
Outro mtodo de elaborao de checklist baseia-se no estudo do
controle e na compreenso do sistema de proteo. Esse mtodo considera a
finalidade para a qual os controles foram criados, ou seja, fundamenta-se nos
objetivos de controle ao identificar a sua principal finalidade e a sua eficcia
no sistema como um todo.
Um aspecto a ser observado no emprego deste mtodo com relao
aos objetivos de controle, que so estabelecidos com base nas normas e
regulamentos, nas obrigaes contratuais, nos negcios da organizao e nos
resultados das avaliaes de riscos.
Os objetivos de controle representam a finalidade para qual o controle
foi criado. Normalmente, esses objetivos esto diretamente relacionados com
os domnios da norma.
Os controles de um sistema esto representados nas polticas,
procedimentos, diretrizes, prticas e estruturas da organizao. Dependem
das decises que a organizao toma baseada em critrios estabelecidos para
o estabelecimento de um padro, que no caso especfico o estabelecimento
de um padro internacional de proteo em instalaes porturias.
As principais fontes para o estabelecimento de controles esto na
avaliao de riscos, na legislao e nos princpios, objetivos e requisitos de
negcios. Nas instalaes porturias, a fonte principal para o estabelecimento
de controles o ISPS Code, que estabelece um conjunto de controles e
diretrizes para a proteo de navios e instalaes porturias. As suas outras
fontes de controle so as avaliaes de proteo com base nos riscos e as
normas que regulamentam o segmento.

140

Todo e qualquer controle tem um objetivo maior, que justifica o seu

maior motivo de implantao, ou seja, o porqu da sua existncia.
Esses objetivos j podem vir explicitados na norma. Como exemplo de
objetivo de controle, citaremos o do domnio poltica de segurana da
informao da norma NBR ISO/IEC 27002:2005, que apresenta o seguinte
objetivo de controle: prover uma orientao e apoio da direo para a
segurana da informao de acordo com os requisitos do negcio e com leis e
regulamentos relevantes.
Contudo, existem normas em que o objetivo de controle no aparece,
como o caso dos controles previstos no ISPS Code. Nesse caso, a
identificao dos objetivos de controle dever ser feita com base no que
representa aquele domnio para o sistema de proteo.
Dessa forma, o objetivo de controle para o domnio avaliao da
proteo das instalaes porturias dever ser identificado em relao ao
que se prope a avaliao de proteo. Como sabemos, a avaliao de
proteo o processo de identificao, avaliao e anlise de riscos, para
prioriz-los de acordo com os critrios estabelecidos para a aceitao e
tratamento desses riscos. Diante disso, o objetivo de controle para esse
domnio pode ser identificado como: prover uma orientao para avaliar a
proteo das instalaes porturias com base nos riscos e requisitos de
negcios.
Caso o auditor no deseje identificar na sua lista de verificao o
objetivo de cada domnio de controle a ser examinado, pelo fato de no
estarem previamente definidos, faz-se necessrio, no mnimo, que ele
compreenda o sistema de proteo e a finalidade de seus controles, para que
possa atingir melhor os objetivos da auditoria.
Para isso, vamos adotar como exemplo o controle de acesso, que
uma das reas crticas em sistemas de proteo. Dessa forma, tomaremos
como pressuposto que os requisitos normativos j esto contemplados na
lista de verificao, e que o auditor avalia que esses itens no so suficientes
para garantir que o seu exame alcance o objetivo em atestar que os controles
implementados atendem ao padro internacional de proteo do ISPS Code.
O ponto de partida entender qual o objetivo de controle para o
controle de acesso. O objetivo principal de um sistema de controle de acesso
o de prevenir o acesso indevido e controlar o fluxo de acesso instalao e

141

aos seus sistemas, de forma a garantir o pleno funcionamento das operaes

e a continuidade dos negcios. Nesse sentido, o objetivo de controle seria o
de controlar o acesso, prevenir o acesso no autorizado e evitar danos e
interferncias nos negcios da instalao porturia.
Identificada essa premissa, o passo seguinte compreender o
controle de acesso. Como se sabe, o controle de acesso tem como suporte
trs pilares: as normas e procedimentos, a tecnologia e os equipamentos e o
recurso humano. Esses pilares devem constar na montagem da lista de
verificao ao se considerar o objetivo de controle identificado, bem como os
controles implementados.
Nessa vertente, o auditor elaborar o checklist observando a fora de
proteo, os equipamentos e sistemas e os procedimentos de controle de
acesso.
O exemplo abaixo apresenta uma amostra de como o auditor poder
elaborar o seu checklist. Nesse exemplo, so considerados os seguintes
aspectos: o permetro de segurana e suas barreiras, os controles para a
entrada fsica na empresa e nos locais de trabalho e a fora de proteo.
O modelo abaixo apresenta a seguinte estrutura61: identificao do
documento, identificao da instalao porturia, nome do auditor, data da
auditoria, domnio de controle, e objetivo de controle como parte constante
do cabealho. No corpo das verificaes, constar o que est sendo verificado
(A), descriminando cada item da verificao na coluna item (B), na coluna
verificao deve ser posto cada item a ser verificado (C), nas colunas de
atende (D), no atende (E) e no-observado (F), o que for constatado.
CHECKLIST
INSTALAO PORTURIA:
NOME AUDITOR:
AUDITORIA DATA:
Domnio: Acesso s instalaes porturias
Objetivo de controle: Controlar o acesso, prevenir o acesso no autorizado e evitar
danos e interferncias nos negcios da instalao porturia.

61

A estrutura apresentada uma sugesto do autor.

142

ITEM VERIFICAO

SIM

NO N/A

(B)

(D)

(E)

(C)

ACESSO CONTROLADO S INSTALAES PORTURIAS

ITEM VERIFICAO
SIM
1
O permetro da instalao est devidamente demarcado
e protegido por muros, cercas, barreiras, etc.?
2
Existem barreiras adequadas nos locais de acesso para
prevenir o acesso no autorizado s instalaes?
3
Existem procedimentos definidos para o cadastramento
e a autorizao de acesso s instalaes?
4
Existem procedimentos definidos para o acesso s
instalaes?
5
O material das barreiras inspecionado periodicamente
para determinar a sua eficcia devido eroso ou ao
uso? Qual o perodo?
6
A rea de negcios est protegida por barreiras (muro,
cercas, etc.), e at coberta por outros meios, como
CFTV?
7
Todas as barreiras possuem uma distncia mnima do
posto de controle? Qual a distncia?
8
Existem sistemas de identificao de pessoas e carto
identificador para os funcionrios?
9
So todos os funcionrios obrigados a exibir
permanentemente a sua identificao (crach ou
equivalente) enquanto estiverem exercendo suas
atividades na instalao porturia?
10
Existe meio para identificar determinado nvel (1,2 e 3)
de proteo?
11
Todas as pessoas que no utilizam identificao (crach,
etc.) so tratadas como estranhas e questionadas sobre
a sua permanncia naquele local?
12
Os pontos de controle de acesso verificam os cartes de
identificao antes deixarem as pessoas entrar?
13
Existe superviso de identificao pessoal e controle de
sistema em todos os pontos de acesso?
14
Os crachs so registrados com um nmero serial e

(F)

NO N/A

143

cdigo de barras (ou outro mecanismo) e so

controlados por procedimentos rgidos?
15
Os crachs extraviados so substitudos com o nmero
serial diferente do anterior? O extravio registrado em
local especfico e comunicado aos postos de controle?
16
Existem procedimentos para fornecer crach aos
funcionrios que tiverem esquecidos os seus?
17
Os crachs so utilizados de diferentes formas para que
a vigilncia possa identificar se determinado funcionrio
ou pessoa esteja em local no autorizado?
18
Os procedimentos para o recolhimento dos crachs de
identificao so eficientes?
19
Existem procedimentos e efetivo para acompanhar
pessoas, quando necessrio, dentro da instalao?
20
Existem procedimentos para escoltar membro de
tripulao de embarcaes ancoradas?
21
Existem procedimentos para motoristas, vendedores e
outros visitantes que acompanham pessoal de
negcios?
22
Os registros dos visitantes so mantidos e facilmente
acessveis?
23
Existem procedimentos de controle de trfego na
instalao?
24
O estacionamento supervisionado e restrito apenas
para os veculos prprios e os veculos controlados?
25
O estacionamento permitido mantm registro e
identificao do veculo e inclui sistema de vigilncia?
26
Todos os veculos no autorizados so solicitados a
estacionar em reas de estacionamento especficas para
visitantes?
27
Os estacionamentos de empregados, funcionrios das
docas e visitantes ficam a determinada distncia das
docas? Qual a distncia?
28
Barreiras, tnel, portas de inspeo de esgoto e acesso
utilizado e elevadores que permitem o acesso so
devidamente seguros?
ACESSO RESTRITO S INSTALAES PORTURIAS

144

ITEM VERIFICAO
SIM
29
Existem reas destinadas e identificadas como reas
restritas?
30
As medidas especficas para as reas restritas
apresentam resultados?
31
Os postos de controle de acesso s reas restritas esto
devidamente postados?
32
Toda a rea restrita devidamente cercada ou murada?
33
Essas reas possuem sistemas de identificao e
controle em todos os postos de controle e com
alarmes?
34
Existe controle para o acesso s informaes e
equipamentos nessas reas?
35
As pessoas que no possuem acesso a essas reas e as
que tm acesso temporrio so monitoradas em todo o
seu percurso?
36
Todas essas reas possuem sistema de controle de
acesso e pessoal de vigilncia?
37
Os pontos de acesso s reas restritas so seguros?
38
A segurana realiza patrulhas rotineiras nessas reas?
39
Existem procedimentos definidos para o nvel de
proteo 2 e so eles guardados nessas reas?
40
Existem procedimentos definidos para o nvel de
proteo 3 e so eles guardados nessas reas?
FORA DE PROTEO
ITEM VERIFICAO
SIM
41
Todos os postos (fixos e mveis) so guarnecidos com
fora pblica (ou privada) de proteo?
42
A fora de proteo est disposta conforme o plano de
emprego ou o contrato de prestao de servio?
43
realizada uma checagem nos funcionrios que tm
acesso s reas controladas e restritas?
44
A fora de proteo identificada por uniforme,
distintivo e autorizao para a rea especfica?
45
O oficial de proteo das instalaes inspeciona a fora
de proteo pelo menos uma vez por dia?
46
A fora de proteo realiza patrulhas, incluindo

NO N/A

NO N/A

145

47
48

49

50

51

52

53
54
55

56
57
58

59
60

146

escritrios, molhe e permetro de acesso instalao?

As patrulhas realizadas incluem a verificao de todos
os pontos de acesso exterior e interior?
A fora de proteo possui local exclusivo para a
coordenao e outras atividades essenciais aos servios
executados?
Existem procedimentos combinados previamente para
a fora de proteo adotar em casos de crise ou
emergncias?
Existem procedimentos para a composio de fora
tarefa, incluindo o comit do porto e instituies
federais, estaduais e municipais?
A fora de proteo registra a sua passagem nos postos
por meio de marcadores, basto eletrnico, telefone,
etc.?
A fora de proteo realiza rondas em tempos e
itinerrios variados para evitar o estabelecimento de
rotina?
Os registros de treinamento individual so mantidos no
local?
Todo o pessoal da fora de proteo possui
treinamento para portar arma de fogo?
A fora de proteo possui equipamento, veculos
identificados para dar resposta a incidentes de
proteo?
Os veculos possuem luzes intermitentes e giratrias?
Apenas agentes da lei e outros autorizados portam
arma de fogo na instalao porturia?
O oficial de proteo das instalaes porturias
inspeciona, pelo menos uma vez por ms, as barreiras
de proteo, as reas limpas e outros pontos crticos
que possam ser utilizados para o acesso instalao
porturia?
Os registros dessas inspees so mantidos e
facilmente acessveis?
O sistema de deteco de invaso sinalizado e
monitorado de um ponto central, de modo que a fora

61
62
63
64
65
66
67

de resposta possa ser iniciada desse ponto?

Todos os pontos de acesso so fechados quando no
utilizados?
Existem medidas para a proteo do fornecimento de
energia e transmisso para a instalao?
Existem medidas para a proteo do centro de
comunicao e equipamentos?
As deficincias percebidas e as aes para a sua
correo so prontamente efetuadas?
As lmpadas e a iluminao so substitudas
imediatamente?
A fora de proteo confere as instalaes nos finais de
semana e nos horrios ps funcionamento?
A fora de proteo possui cdigos para atuar em
situaes de emergncia?

147

148

5 NO CONFORMIDADES E IRREGULARIDADES
O auditor exerce a sua atividade pautada nos procedimentos de
auditoria e nas leis, normas e regulamentos da sua profisso. O exame que
realiza focado nos objetivos da auditoria e nos objetivos de controle,
lastreados nos documentos-base e nos critrios estabelecidos pela
organizao para a atividade de negcios e por rgos regulamentadores.
As concluses e os resultados da auditoria decorrem da anlise e
interpretao das evidncias encontradas, que so dispostas no relatrio da
auditoria, documento no qual o auditor descreve o trabalho por ele
executado.
No relatrio deve constar o escopo da auditoria e seus objetivos, a
natureza, a amplitude, o tempo de durao e a extenso do trabalho, as
constataes, as concluses e recomendaes, explicitando as restries e
limitaes quanto ao escopo, alm das irregularidades e no conformidades
encontradas. Essas irregularidades e no conformidades requerem uma
ateno especfica no relato das atividades do auditor.
As no conformidades dizem respeito a tudo aquilo que estiver em
desacordo com os requisitos normativos, independentemente de terem uma
relao insignificante com o comprometimento dos negcios. Elas podem
estar relacionadas com a simples inobservncia do controle implementado,
com a cultura organizacional em ignorar o cumprimento de controles, e com
erros, omisses e prticas fraudulentas.
Na prtica, o exame de auditoria geralmente detecta irregularidades e
no conformidades. Essa vertente tem provocado determinada mudana no
perfil do auditor e da auditoria, ao demandar uma ateno especfica para o
planejamento da auditoria e uma maior perspiccia dos auditores no exerccio
de suas atividades. Alis, essa uma tendncia da auditoria, que tem se
apresentado como uma excelente ferramenta na preveno, deteco e
monitoramento dos riscos corporativos.
Uma discusso necessria para a auditoria a diferena entre no
conformidades e irregularidades, mesmo sabendo que aqueles
procedimentos que estiverem em desacordo com os padres so tidos como

149

irregulares face a esses padres. Dessa forma, vislumbra-se a necessidade de

se diferenciar as no conformidades das irregularidades.
As no conformidades podem ser compreendidas como critrios e
requisitos normativos no alcanados pelos controles implementados, ou
como decorrentes do mau desempenho das atividades de controle, bem
como da fragilidade das pessoas que resistem, involuntariamente, na
permanncia do status quo anterior criao do controle, desempenhando
suas atividades sem perceber os novos padres estabelecidos.
As principais causas de no conformidades esto relacionadas com a
cultura da organizao, com a falta de divulgao e treinamento dos
procedimentos de controle, com a escassez de recursos e a utilizao da
tecnologia. Essas no conformidades geralmente so saneadas com a
implementao das recomendaes do auditor e com uma fiscalizao mais
presente dos gerentes.
As irregularidades podem ser compreendidas como atividades
intencionais para a violao das polticas, normas e procedimentos. O
elemento caracterizador da irregularidade a inteno de violar, quebrar,
enganar, ou seja, no cumprir, intencionalmente, um procedimento de
controle.
Mesmo que uma no conformidade seja entendida de certa forma
como uma irregularidade, interessante que o auditor faa uma pequena
distino no seu relatrio entre no conformidades e irregularidades, dando
nfase a estas ltimas como aes intencionais.
Uma irregularidade pode estar apenas relacionada com a vontade de
quebrar determinada norma de controle, sem querer causar um dano real aos
negcios, caracterizando assim uma postura contra a poltica de controle
interno. Contudo, todas essas irregularidades devem ser combatidas com
bastante rigor e com critrios de punibilidade para que os controles possam
ser cumpridos e a poltica implementada na sua totalidade.
Essa caracterstica da irregularidade apresenta relao direta com a
resistncia interna em aceitar novos tipos de controles, e geralmente se
apresenta na forma de: violaes intencionais em implementar polticas,
violaes intencionais de requisitos normativos, ao deliberada para
desobedecer a procedimentos, omisso de informaes sobre as atividades
auditadas, negligncia, bem como o cometimento de infraes sem inteno.

150

A questo do dano muito subjetiva, uma vez que, no ocorrendo um

dano mensurvel, pode-se pensar que no houve uma irregularidade, ou
sendo ele de pequeno impacto, ou mesmo desprezvel, pode-se tender a no
considerar o ato como uma irregularidade.
Contudo, a burla de um controle pelo simples prazer de burlar traz
prejuzos, no mnimo, poltica e tica funcional, carecendo de punio. No
possuir critrios de punio no caso de descumprimento de controles
semear a cultura da averso aos controles. A melhor poltica de incentivo aos
controles o estabelecimento de premiao pelo cumprimento, e de punio
para o no cumprimento dos controles.
De todas as irregularidades, aquelas que mais preocupam so as
fraudes, e por isso demandam maior ateno. Estudos recentes realizados
pela KPMG e Ernst & Young demonstram o tamanho dessa preocupao.
A pesquisa62 realizada pela KPMG63 apontou que as principais razes
para o aumento das fraudes estavam no enfraquecimento dos valores sociais
e morais (63%), nas falhas no sistema de controle (59%), na impunidade (55%) e
nas presses econmicas (46%). Esse estudo apontou que 73% das fraudes
ocorreram por insuficincia de controles internos, que os principais agentes
fraudadores foram funcionrios e gerentes (48%) e prestadores de servio
(21%), e que os principais responsveis pela descoberta das fraudes nas
corporaes pesquisadas foram a auditoria interna e os controles internos
(KPMG, 2003).
Nessa direo, a pesquisa64 realizada pela Ernst & Young apresentou
semelhanas com o risco da fraude, com 55% das fraudes cometidas por
gerentes e 30% cometidas por funcionrios, o que totaliza 85% das fraudes
cometidas por pessoas de dentro da companhia, ratificando a ineficcia do
sistema de controle interno como um dos fatores que contriburam para essas
fraudes (Ernst & Young, 2003).

62

Essa pesquisa sobre a fraude no Brasil foi realizada com cerca de 1.000 das maiores empresas
do setor pblico e privado, com um faturamento entre 50 milhes e 5 bilhes de reais.
63
A KPMG uma rede global de firmas de servio e assessoria profissional, presente em mais
de 150 pases.
64
Essa pesquisa foi realizada nas maiores empresas de diversos segmentos ao redor do mundo.

151

A fraude, pela sua prpria definio, engano, astcia para causar

dano, dolo, ou seja, para que haja a fraude necessrio que exista a
vontade, a inteno de se fazer algo com a inteno de enganar.
As irregularidades fraudulentas caracterizam-se pela vontade de
enganar para cometer a fraude, ou na cumplicidade ou parcela de culpa para
esconder essas atividades, ou omitir informaes sobre elas. Esto presentes
nelas o agente fraudador, que pode, ou no, ter vnculo com a instalao
porturia e agir isoladamente, ou em conluio com funcionrios e gerentes, e
as vulnerabilidades, que so as fragilidades no sistema de controle.
A motivao da fraude tem apresentado relao direta com a natureza
do negcio e a satisfao em cometer a fraude, na aposta do agente
fraudador em no ser descoberta a fraude, nem ele ser descoberto, e na
expectativa de impunidade e de reposio do dano, pela dificuldade em se
constiturem provas.
Entender esses fatores de fundamental importncia para que o
auditor possa elaborar o seu roteiro, considerando os pontos que possam
contribuir para a preveno e deteco de irregularidades. Essa assertiva tem
impulsionado a auditoria para alinhar o exame com os principais riscos que
afetam os negcios corporativos e com os objetivos de controle.
verdade que a auditoria uma excelente ferramenta para a
preveno e deteco de irregularidades e, na prtica, essas irregularidades
geralmente so detectadas. Contudo, isso no pode ser utilizado como uma
garantia da auditoria, mesmo porque sabemos que a auditoria no pode
garantir a descoberta de irregularidades, principalmente, as fraudulentas.
Entretanto, existe a necessidade de o exame da auditoria ser
desenhado de forma a atender expectativa da descoberta de irregularidades
e preveno das fraudes mais conhecidas, ou tidas como as mais comuns.
Nesse sentido, para se elaborar o roteiro da auditoria, faz-se
necessrio que seja realizado um estudo do ambiente de controle e da sua
funcionalidade, alinhado-o com o estudo do risco, se houver.
Na anlise do ambiente de controle devem ser considerados: as
caractersticas organizacionais, como cultura, tica, estrutura, relao de
trabalho, sistema de remunerao, etc.; a histria e a sua tradio nos
negcios e com relao a irregularidades; o ambiente de negcios; os tipos de
ativos, operaes, materiais envolvidos e servios oferecidos; a implantao e

152

mudana de novos sistemas e procedimentos operacionais; o sistema de

controle, as normas e os procedimentos; a forma da relao de trabalho das
pessoas envolvidas nas atividades de controle; a tecnologia de suporte
utilizada, e as evidncias e irregularidades encontradas nas auditorias
anteriores.
A etapa seguinte a do reconhecimento dos tipos mais comuns de
fraudes. O livro Fraud: Real solution to a real risk (Ernst & Young, 2004)
apresenta como mais comuns os seguintes tipos de fraudes: falso registro,
lavagem de dinheiro, apropriao de ativo, corrupo, fraude no esquema de
investimento, fraude da propriedade intelectual, fraude de computao e
fraude de seguro.
certo que a auditoria para a proteo de instalaes porturias no
ser desenhada para a amplitude dessas fraudes; contudo, no podem ser
desprezadas de ateno, uma vez que existem semelhanas nessas
tipificaes, como pode ser verificado nos exemplos a seguir:
Falso registro: os registros falsos podem ser utilizados para enganar o
controle de acesso e se ter acesso instalao porturia, passando-se por
outro, assumindo a identidade de outra pessoa. Esse registro falso pode ser
feito pelo encarregado da portaria no momento da passagem, ou pelo
encarregado do registro no sistema de autorizao de acesso a pessoas,
veculos, etc. O falso registro tambm pode ser utilizado para furtar bens
(equipamentos e mercadorias), cobrindo o furto e outras irregularidades.
Apropriao de ativos: este tipo de fraude caracteriza-se em aes para se
apossar de ativo, ou omisso intencional para facilitar que o ativo seja retirado
da empresa. Geralmente existe a participao do funcionrio; no entanto,
uma ao negligente no controle de acesso contribui para a no deteco
dessa fraude. Isso pode acontecer ao no se verificar as bolsas e veculos de
prestadores de servio, por exemplo. comum com mercadorias de fcil
receptao no mercado, equipamentos eletrnicos e material de alto valor.
Fraude de computao: pode ser cometida de diferentes formas e tem um
grande potencial de crescimento face ao avano tecnolgico e deficincia na
segurana das informaes. Com relao proteo das instalaes
porturias, ela pode ocorrer atrelada ao descumprimento da poltica de
segurana da informao, ou ao ser concedida uma autorizao indevida de

153

acesso no sistema informatizado, por exemplo, ou ser deletado o arquivo de

registro de acesso (log), inviabilizando investigaes futuras.
Aps tomar conhecimento dos principais tipos de fraudes que j
ocorreram na instalao porturia e as mais comuns apresentadas por
pesquisas, o auditor passa a direcionar o seu roteiro para examinar se os
controles implementados atendem finalidade para qual foram
estabelecidos, e se atendem demanda de prevenir e detectar fraudes, ou se
so vulnerveis para tal objetivo de controle.
Nessa fase, necessrio que sejam levantadas as possibilidades de
como as fraudes podem ocorrer, quais os seus possveis agentes fraudadores,
e que pontos de vulnerabilidade podem ser explorados face aos controles
implementados, considerando-se os principais negcios e atividades.
Pode parecer difcil identificar como uma fraude ocorre e quem pode
ser o fraudador; contudo, ao se analisarem os controles e conhecerem as
atividades, podem-se elaborar itens de verificao mais direcionados para as
possibilidades de quebra de controle.
Para que seja considerada uma irregularidade, o auditor dever obter
evidncias confiveis e suficientes, que no deixem dvidas quanto a tal
procedimento, focando a sua anlise nos aspectos materiais e no apenas em
concluses subjetivas.
As evidncias das no conformidades encontradas podem estar
referidas nos comentrios do auditor com base nas observaes das
atividades desempenhadas, na anlise das entrevistas realizadas e nos
documentos analisados, os quais podem ser copiados para ser anexados ao
relatrio, ou simplesmente referenciados.
As evidncias das irregularidades no fraudulentas devem estar
consubstanciadas na materialidade de documentos e declaraes tomadas
com o intuito de se constiturem provas, uma vez que tais irregularidades
podem resultar em sanes ticas e legais. Essas evidncias podem ser cpias
e devem estar acostadas ao relatrio de auditoria. J as evidncias de fraudes
devem basear-se em documentos originais, deixando as cpias autenticadas
no setor examinado. Esses originais devem ser devidamente guardados para
ser utilizados na representao legal.
Essas evidncias podem ser obtidas do exame sobre o todo, ou de
parte dele. As evidncias obtidas por amostragem devem ser relevantes,

154

confiveis e suficientes, e, para isso, o auditor dever explicitar o mtodo de

amostragem escolhido, justificando-o de acordo com os procedimentos a ser
utilizados para alcanar os objetivos da auditoria.
Nos casos das evidncias de fraude, a amostragem por si s pode ser
insuficiente para uma concluso mais precisa do auditor, requerendo, assim, a
extenso do exame para o todo ou para uma parcela maior da populao
escolhida, com a aplicao de testes mais exaustivos sobre os controles
estabelecidos, objetivando explorar as possveis vulnerabilidades encontradas
e os elementos de composio da fraude detectada. Essa atitude poder
delimitar com mais preciso a extenso da fraude, que poder estar restrita
quela parcela da populao escolhida por amostragem, no representando
um esquema de maior complexidade.
As no conformidades e irregularidades devem ser registradas no
relatrio da auditoria. Dependendo da sua complexidade e possvel dano
continuidade dos negcios, deve ser imediatamente informada ao auditor
lder, ou pessoa responsvel pela instalao porturia para acompanhar a
auditoria. Quando uma irregularidade envolver o gerente ou o responsvel
pela rea, tais evidncias devem ser registradas como confidenciais e
entregues ao escalo superior.
Nas irregularidades consideradas como atos ilegais (ilegalidade),
aconselhvel que o auditor aponte no seu relatrio que seja feita a
representao da ilegalidade aos rgos oficiais competentes. fundamental
que, em anexo ao relatrio, esteja toda a documentao probante, e que isso
seja ressaltado no relatrio da auditoria.
A representao feita diretamente pelo auditor sobre uma ilegalidade
encontrada durante a auditoria, uma possibilidade que depende da
imposio legal. Contudo, mesmo sendo essas evidncias consideradas
suficientes por parte do auditor, bom ressaltar que, no sistema judicial, s
vezes elas podem vir a ser desconsideradas pelo devido processo legal e por
peculiaridades inerentes sistemtica entre acusado-acusador. Dessa forma,
observamos que importante que o auditor faa a recomendao da
representao e verifique qual a sua parcela de responsabilidade em fazer, ou
no, a representao direta da possvel ilegalidade.
Ateno especfica deve ser dispensada irregularidade e
ilegalidade, pois na primeira o auditor deve afirmar ser, ou no ser, uma

155

irregularidade; na segunda, ele deve apontar que tal irregularidade apresenta

ser uma possvel ilegalidade, no afirmando que uma ilegalidade, uma vez
que a condenao por ato ilegal s pode ocorrer aps sentena transitada em
julgado. No caso de uma absolvio, por mais absurda que ela possa ser, o
auditor poder ser responsabilizado por ter feito uma acusao indevida. A
esse risco ele no deve sujeitar-se, nem tampouco colocar a auditoria
realizada sob suspeio.

156

6 RELATRIO E AES DE ACOMPANHAMENTO DA

AUDITORIA
Este captulo trata do relatrio da auditoria e das aes de
acompanhamento. O primeiro, porque uma pea fundamental. Se for mal
elaborado, poder comprometer todo o trabalho executado. O segundo,
porque resulta da auditoria e parte indispensvel conformidade com os
requisitos normativos, alm de ser primordial para a melhoria do sistema de
proteo.

6.1 Relatrio
Como j foi abordado no primeiro captulo, para que a auditoria seja
concluda, todas as atividades descritas no plano de auditoria devem ter sido
realizadas, e o relatrio devidamente elaborado, aprovado e entregue aos
clientes da auditoria.
Foi visto tambm que, pela NBR ISO 19011:2002, os relatrios de
auditoria devem incluir: os objetivos da auditoria; o escopo da auditoria,
particularmente a identificao das unidades organizacionais e funcionais, ou
os processos auditados e o perodo de tempo coberto; a identificao do
cliente de auditoria; a identificao do lder da equipe de auditoria e seus
membros; as datas e lugares onde as atividades da auditoria foram realizadas;
o critrio da auditoria; as constataes da auditoria, e as concluses da
auditoria.
Alm desses itens, essa norma orienta que o relatrio pode incluir ou
se referir, se for apropriado: ao plano de auditoria; a uma lista de
representantes do auditado; a um resumo do processo de auditoria incluindo
obstculos e/ou incertezas encontrados, que poderiam diminuir a
confiabilidade das concluses de auditoria; confirmao de que os objetivos
da auditoria foram atendidos dentro do escopo da auditoria e em
conformidade com o plano de auditoria; a quaisquer reas no-cobertas,
embora dentro do escopo da auditoria; a quaisquer opinies divergentes e
no resolvidas entre a equipe da auditoria e o auditado; s recomendaes
para a melhoria, se isso est especificado nos objetivos da auditoria; ao plano

157

de ao de acompanhamento negociado, se existir; a uma declarao da

natureza confidencial dos contedos, e lista de distribuio do relatrio da
auditoria.
Considerando-se que o relatrio uma pea fundamental para a
auditoria e que vrios aspectos influenciam na sua elaborao, este item foi
desenvolvido com o objetivo de fornecer uma orientao de como elaborar
um relatrio.
Nesse sentido, apresentado um modelo de estrutura de relatrio,
que visa a facilitar o relato das atividades para o auditor e dar fluidez
compreenso dos trabalhos realizados para as partes envolvidas na auditoria.
O modelo proposto65 divide o relatrio nas seguintes etapas:
introduo, objetivo da auditoria, escopo da auditoria, constataes da
auditoria, recomendaes e concluso.
Introduo
Nesta etapa feita uma descrio resumida do cliente de auditoria,
fazendo referncia importncia da certificao de proteo para os negcios
da instalao porturia, como tambm aos dados da organizao de auditoria,
aos nomes dos auditores e ao perodo de realizao dos trabalhos.
Objetivos da auditoria
Neste item constam os objetivos da auditoria, que devem ser a
reproduo dos objetivos apostos no plano de auditoria.
Escopo da auditoria
Deve ser feita uma descrio do escopo da auditoria, com um breve
relato sobre a importncia dos exames realizados, bem como a justificativa da
extenso de algum exame que tenha sido necessrio face necessidade de se
obter uma constatao de auditoria, pois existem casos em que se amplia o
foco da auditoria para que seja possvel ter certeza de que o exame em
determinado domnio est, ou no, em conformidade com os requisitos
normativos.
65

Existem outros modelos de relatrios, e caso a Instalao Porturia j possua um padro de

relatrio de auditoria estabelecido, como no caso das auditorias dos sistemas ISO de qualidade
e ambiental, ela deve seguir ao modelo adotado.

158

 neste item que devem ser descritas as fases da auditoria, se for o

caso.
Constataes da auditoria
Antes de dar incio descrio do que foi constatado, importante
uma breve descrio de como os exames foram realizados, para oferecer uma
clareza maior queles que lero o relatrio da auditoria.
A descrio das constataes deve ser feita por domnio, podendo vir
o auditor a tecer alguns comentrios quando do relato desses domnios.
nessa etapa que devem ser apontadas as no conformidades e as
irregularidades, que serviro de base para as recomendaes.
comum o auditor perceber que determinado processo de negcio
poderia estar mais bem ajustado e controlado, sem que seja caracterizada
uma no conformidade. Nesses casos, aconselhvel que se faam
comentrios sobre a questo, fundamentando a exposio de motivos para a
melhoria. Essa linha de ao uma tendncia para as auditorias no segmento
porturio, devido sua importncia para o cenrio internacional de proteo e
melhoria da vida no mar.
Caso o auditor faa a opo de apontar a recomendao para a no
conformidade encontrada, ou para a melhoria, neste item de relatrio, em
nada interferir na estrutura do relatrio, pois tal colocao facilita a
compreenso de quem est lendo o relatrio.
Recomendaes
Neste item devem ser consolidadas todas as recomendaes das no
conformidades encontradas, como tambm das aes para a melhoria do
sistema de proteo.
Caso as recomendaes e aes de melhoria sejam apontadas no item
das constataes de auditoria, e mesmo parecendo ser, at certo ponto,
repetitivas, a opo por este item especfico do relatrio dar-se- pelo fato de
que algumas recomendaes podem alcanar mais de um domnio
examinado, alm de tornar mais claras e concisas tais recomendaes.
Concluso
Nesta etapa feita a concluso dos trabalhos, quando o auditor

159

dever fazer meno completeza dos exames e ao atendimento dos

objetivos propostos auditoria, ressaltando a importncia para o
atendimento das aes corretivas, saneadoras, e para a melhoria do sistema
integrado de proteo da instalao porturia.

6.2 Aes de acompanhamento

As aes de acompanhamento so decorrentes dos exames de
auditoria e objetivam sanear irregularidades e no conformidades, bem como
a melhoria de um sistema.
So aes que devem ser implementadas pelo auditado, e requerem
um acompanhamento por parte dos auditores. necessrio que esse
acompanhamento
seja
realizado
mediante uma
auditoria
de
acompanhamento.
Essa auditoria bastante especfica e deve ter como objetivo a
verificao da conformidade das medidas implementadas. O seu foco precisa
estar alinhado com a extenso dessas medidas. O relatrio dessa auditoria
deve seguir o mesmo roteiro do relatrio de uma auditoria geral.
Nos casos em que a organizao de auditoria seja contratada para
implementar as aes saneadoras e de melhoria, faz-se necessrio atentar
para que seja mantida a independncia entre essas reas.
Essas situaes so bem pontuadas, quando as auditorias so executadas por
organizao de auditoria, quando do exame de um sistema, a fim de preparlo para a certificao internacional de proteo.
Nesses casos especficos, mesmo que a auditoria de acompanhamento
seja realizada por essa mesma organizao, faz-se necessrio, que tal exame
no seja em prazo inferior a 30 (trinta) dias, para que tais procedimentos e
melhorias possam ter um perodo mnimo de maturao.

160

BIBLIOGRAFIA
Associao Brasileira de Normas Tcnicas (ABNT). NBR ISO 19011 - Diretrizes para
auditorias de sistema de gesto da qualidade e/ou ambiental. So Paulo: ABNT, 2002.
Associao Brasileira de Normas Tcnicas (ABNT). NBR ISO/IEC 27002:2005
Tecnologia da informao Cdigo de prtica para a gesto da segurana da
informao. Rio de Janeiro: ABNT, 2005.
Associao Brasileira de Normas Tcnicas (ABNT). NBR ISO/IEC 27001:2006
Tecnologia da informao Tcnicas de segurana Sistema de gesto de segurana
da informao - requisitos. Rio de Janeiro: ABNT, 2006.
AS/NZS 4360:2004 Risk Management. Third edition. Sydney/Wellington: Standards
Australia/Standards New Zealand, 2004.
ATTIE, William. Auditoria: conceitos e aplicaes. So Paulo:Atlas, 1998.
BRASIL. Cdigo Internacional para a Proteo de Navios e Instalaes Porturias.
Ministrio da Justia: Comisso Nacional de Segurana Pblica nos Portos, Terminais e
Vias Navegveis (CONPORTOS), 2004.
BRASIL. Portaria no 387, de 03 de outubro de 2006. Ministrio da Justia:
Departamento da Polcia Federal (DPF), 2006.
BRASIL. Resoluo no 02, de 02 de dezembro de 2002. Ministrio da Justia: Comisso
Nacional de Segurana Pblica nos Portos, Terminais e Vias Navegveis
(CONPORTOS), 2002.
BRASIL. Resoluo no 12, de 18 de dezembro de 2003. Ministrio da Justia: Comisso
Nacional de Segurana Pblica nos Portos, Terminais e Vias Navegveis
(CONPORTOS), 2003.
BRASIL. Resoluo no 18, de 18 de dezembro de 2003. Ministrio da Justia: Comisso
Nacional de Segurana Pblica nos Portos, Terminais e Vias Navegveis
(CONPORTOS), 2003.
BRASIL. Resoluo no 26, de 08 de junho de 2004. Ministrio da Justia: Comisso
Nacional de Segurana Pblica nos Portos, Terminais e Vias Navegveis
(CONPORTOS), 2004.
BRASIL. Resoluo no 32, de 11 de novembro de 2004. Ministrio da Justia: Comisso
Nacional de Segurana Pblica nos Portos, Terminais e Vias Navegveis
(CONPORTOS), 2004.
BRASIL. Resoluo no 33, de 11 de novembro de 2004. Ministrio da Justia: Comisso
Nacional de Segurana Pblica nos Portos, Terminais e Vias Navegveis
(CONPORTOS), 2004.

161

BRASIL. Resoluo no 36, de 21 de junho de 2005. Ministrio da Justia: Comisso

Nacional de Segurana Pblica nos Portos, Terminais e Vias Navegveis
(CONPORTOS), 2005.
BRASIL. Resoluo no 37, de 21 de junho de 2005. Ministrio da Justia: Comisso
Nacional de Segurana Pblica nos Portos, Terminais e Vias Navegveis
(CONPORTOS), 2005.
BRASIL. Resoluo no 47, de 07 de abril de 2011. Ministrio da Justia: Comisso
Nacional de Segurana Pblica nos Portos, Terminais e Vias Navegveis
(CONPORTOS), 2011.
BRASIL.
Instalaes
porturias

Quadro
geral.
Disponvel
em:
<http://www.mj.gov.br/senasp/conportos/documentos/conportos_instalacoes_certifi
cadas.pdf>. Acesso em: 27.jun.2011.
BUSINESS CONTINUITY PLANNING GUIDE (BCPG). First edition. Property Advisers to
the Civil Estate (PACE): Central Advice Unit, may, 1998.
CASADA, Myron; Thomas Nolan; David Trinker; and David Walker. Guide for Port
Security. Houston: ABS Consulting, Octuber, 2003.
CIACCIO, Maurcio. Controle de Acesso: uma das mais conhecidas estratgias de
segurana. In: Revista Proteger, ano VIII, no 48. So Paulo, 2005.
DANTAS, Marcus Leal. Segurana preventiva: conduta inteligente do cidado. Recife:
Nossa livraria, 2003.
Disarming the Value Killers A Risk Management Study. Deloitte Touche Tohmatsu,
2005.
Ernst & Young 8th Global Fraud Survey (Fraud The Unmanaged Risk). Ernst &
Young: Global Investigations & Dispute Advisory Services, 2003.
ERNST & YOUNG. Fraud: Real solution to a real risk. London: Ernst & Young LLP,
2004.
HERZOG, Ana Luiza. Sua empresa jamais esteve to ameaada. Revista Exame, So
Paulo, SP, no 09, ano 40, ed Ed. 867, p. 84-86, 10 maio 2006.
INTERNATIONAL ASSOCIATION OF PORT AND HARBORS (IAPH). Report on ISPS Code
- Port Readiness Survey. In: Review Port and Harbors, june, 2004.
INTERNATIONAL MARITIME ORGANIZATION (IMO). International Ship and Port
Facility Security Code (ISPS Code). Eletronic Edition. London: International Maritime
Organization, 2003.
INFORMATION SYSTENS AUDIT AND CONTROL ASSOCIATION (ISACA). IS Standards,
Guideliness and Procedures for Auditing and Control Professionals. Illinois, USA:
Information Systens Audit and Control Association, 2006.
IT GOVERNANCE INSTITUTE (ITGI). COBIT 4.1. Illinois, USA: IT Governance Institute,
2007.

162

ISO/IEC Guide 73:2002 Risk Management Vocabulary Guideliness for use in

standards. First edition. Switzerland: International Organization for Standardization,
2002.
IUDCIBUS, Srgio de; MARION, Jos Carlos. Termos de Contabilidade. So Paulo:
Editora Atlas S.A., 2001.
JUND, Srgio. Auditoria: conceitos, normas tcnicas e procedimentos. 4a Ed., Rio de
Janeiro:Impetus, 2002.
KPMG. A fraude no Brasil Relatrio da pesquisa 2002. So Paulo: KPMG Forensic,
2003.
MICHAELIS: pequeno dicionrio da lngua portuguesa. So Paulo: Companhia
Melhoramentos, 1998.
MICROSOFT. Guia de Gerenciamento de Riscos de Segurana. Disponvel em:
<http://www.microsoft.com/brasil/security/guidance/riscos/default.mspx>. Acesso em
20 abr 2005.
UNITED STATES COAST GUARD. Navigation and Vessel Inspection Circular 11/2002 NVIC 11-02: RECOMMENDED SECURITY GUIDELINES FOR FACILITIES. Washington:
United States Coast Guard, 2003.

163

164

165

166